Две уязвимости в Windows са обект на активно експлоатиране

Две уязвимости в Windows, едната от които е zero-day (нулев ден), известна на хакерите от 2017 г., а другата е критична уязвимост, която Microsoft първоначално се опита да поправи, но не успя, са обект на активно експлоатиране в широко разпространени атаки, твърдят изследователи.

Уязвимостта от типа нулев ден остана неоткрита до март, когато компанията за сигурност Trend Micro заяви, че тя е била активно експлоатирана от 2017 г. насам от 11 отделни групи за напреднали постоянни заплахи (APT). Тези APT групи, често свързани с държави, атакуват конкретни лица или групи от интерес. Trend Micro продължи, като заяви, че групите са експлоатирали уязвимостта, проследена като ZDI-CAN-25373, за да инсталират различни известни пост-експлоатационни товари върху инфраструктура, разположена в почти 60 държави, като САЩ, Канада, Русия и Северна Корея са най-често срещаните.

Седем месеца по-късно Microsoft все още не е отстранила уязвимостта, която произтича от бъг в бинарния формат на Windows Shortcut. Компонентът на Windows улеснява и ускорява отварянето на приложения или достъпа до файлове, като позволява един бинарен файл да ги стартира, без да е необходимо да се навигира до местоположението им. През последните месеци обозначението за проследяване ZDI-CAN-25373 беше променено на CVE-2025-9491.

Arctic Wolf съобщи, че е наблюдавала група, свързана с Китай, проследявана като UNC-6384, която използва CVE-2025-9491 в атаки срещу различни европейски държави. Крайният полезен товар е широко използван троянец за отдалечен достъп, известен като PlugX. За да скрие по-добре зловредния софтуер, експлойтът запазва двоичния файл криптиран във формат RC4 до последната стъпка в атаката.

Без наличен пач, потребителите на Windows разполагат с ограничен брой опции за отблъскване на атаките. Най-ефективната контрамярка е блокирането на .lnk функциите чрез блокиране или ограничаване на използването на .lnk файлове от ненадеждни източници. Това може да се направи чрез настройка на Windows Explorer да деактивира автоматичното разрешаване на такива файлове. Степента на сериозност за CVE-2025-9491 е 7 от 10.

Другата уязвимост на Windows беше отстранена миналата седмица, когато Microsoft пусна непланирана актуализация. CVE-2025-59287 има степен на сериозност 9,8. Тя се намира в Windows Server Update Services, които администраторите използват за инсталиране, актуализиране или изтриване на приложения на големи групи сървъри. Microsoft преди това се опита да отстрани потенциално уязвимостта за отдалечено изпълнение на код, причинена от грешка в сериализацията, седмица по-рано в своето октомврийско издание Patch Tuesday. Публично оповестеният код за доказване на концепцията бързо доказа, че опитаният ремонт е бил непълен.

Няма индикации кога Microsoft ще пусне пач за CVE-2025-9491.