Microsoft a lansat în Martie 2025 un patch care corectează 57 de vulnerabilități, inclusiv 7 zero-day ,exploatate activ. Mai jos găsiți o analiză detaliată a vulnerabilităților de tip zero-day a anunțat Directoratul Național de Securitate Cibernetică (DNSC)
Comunicat Directoratul Național de Securitate Cibernetică
CVE-2025-24985 – Remote Code Execution în Fast FAT Driver
Scor de severitate: CVSS 8.1 (High)
Descriere: CVE-2025-24985 este o vulnerabilitate de tip buffer overflow în driverul Fast FAT care permite execuție de cod la nivel de kernel. Aceasta apare din cauza unei validări insuficiente a datelor în timpul procesării fișierelor VHD, permițând unui atacator să creeze o imagine VHD coruptă care, odată montată, suprascrie zone de memorie din kernel. Prin exploatarea acestei vulnerabilități, atacatorul poate obține control total asupra sistemului, instala malware și escalada privilegii.
Detalii tehnice și condiții de exploatare: Atacatorul poate crea o imagine VHD manipulată care conține un payload malițios și o secțiune de date care provoacă un overflow în driverul Fast FAT, afectând zona de memorie alocată kernel-ului. Exploatarea necesită acces fizic sau acces la o partajare de rețea configurată greșit pentru a monta imaginea VHD.
CVE-2025-24993 – Remote Code Execution în NTFS prin buffer overflow
Scor de severitate: CVSS 7.9 (High)
Descriere: CVE-2025-24993 este o vulnerabilitate în driverul NTFS care permite executarea de cod la nivel de kernel prin manipularea datelor dintr-un fișier NTFS corupt. Lipsa unei verificări corespunzătoare a limitelor datelor în timpul montării permite scrierea în afara limitelor memoriei, rezultând într-un overflow care poate duce la deturnarea fluxului de execuție și rularea unui payload malițios.
Detalii tehnice și condiții de exploatare: Atacatorul poate manipula o structură de fișier NTFS, forțând driverul NTFS să încarce date corupte. Exploatarea necesită acces local sau la distanță printr-un protocol SMB sau printr-un fișier NTFS montat de pe un dispozitiv USB.
CVE-2025-24983 – Privilege Escalation în Windows Win32k
Scor de severitate: CVSS 7.8 (High)
Descriere: CVE-2025-24983 este o vulnerabilitate de tip use-after-free în componenta Win32k care apare în timpul manipulării obiectelor grafice GDI. Un atacator poate forța dealocarea prematură a unui obiect, păstrând un pointer către o locație de memorie invalidă, ceea ce permite coruperea memoriei și deturnarea fluxului de execuție pentru a obține privilegii de sistem.
Detalii tehnice și condiții de exploatare: Atacatorul poate iniția o fereastră GDI care declanșează o secvență de evenimente ce cauzează o dealocare prematură a obiectului Win32k. Exploatarea necesită acces local și rularea unei aplicații create special pentru a manipula memoria kernel.
CVE-2025-24988 – Privilege Escalation în kernelul Windows
Scor de severitate: CVSS 7.8 (High)
Descriere: CVE-2025-24988 este o vulnerabilitate în kernel-ul Windows care permite escaladarea privilegiilor prin exploatarea unei erori de gestionare a memoriei. Atacatorul poate manipula o structură internă a kernel-ului pentru a suprascrie pointeri de funcție și a obține posibilitatea de a executa cod în contextul kernel-ului.
Detalii tehnice și condiții de exploatare: Atacatorul poate crea un exploit care inițiază un race condition( o situație în care două sau mai multe procese accesează și modifică simultan aceeași zonă de memorie, iar rezultatul depinde de ordinea în care sunt executate). În acest caz, atacatorul poate forța kernel-ul să încarce o zonă de memorie falsă sau coruptă, deturnând fluxul de execuție și reconfigurând structurile de proces intern. Exploatarea necesită acces local și drepturi de execuție pe sistemul țintă.
CVE-2025-26633 – Security Feature Bypass în Microsoft Management Console (MMC)
Scor de severitate: CVSS 7.2 (High)
Descriere: CVE-2025-26633 permite ocolirea mecanismelor de securitate din MMC prin manipularea unei configurații corupte sau prin înlocuirea unui modul MMC autorizat cu un fișier malițios. Atacatorul poate executa cod arbitrar cu privilegii administrative.
Detalii tehnice și condiții de exploatare: Atacatorul poate copia un fișier DLL malițios în directorul MMC pe care să-l încarce prin modificarea configurației. Exploatarea necesită acces local și drepturi de administrare asupra sistemului.
CVE-2025-24991 – Information Disclosure în NTFS
Scor de severitate: CVSS 5.5 (Medium)
Descriere: CVE-2025-24991 este o vulnerabilitate în driverul NTFS care permite acces la date confidențiale printr-un fișier NTFS corupt. Atacatorul poate citi date din zone de memorie alocate anterior altor procese.
Detalii tehnice și condiții de exploatare: Atacatorul poate monta un fișier NTFS corupt care declanșează un race condition, determinând driverul NTFS să expună date din memoria procesului anterior. Exploatarea necesită acces local sau acces printr-un dispozitiv USB.
CVE-2025-24984 – Information Disclosure prin montarea unui dispozitiv USB
Scor de severitate: CVSS 5.5 (Medium)
Descriere: CVE-2025-24984 permite citirea de date confidențiale printr-un dispozitiv USB corupt care exploatează o eroare în mecanismul de procesare a driverelor USB.
Detalii tehnice și condiții de exploatare: Atacatorul poate crea un dispozitiv USB modificat care, odată conectat la sistem, forțează driverul USB să citească date din memoria partajată. Exploatarea necesită acces fizic la dispozitiv.
PRODUSE AFECTATE
- Windows 10
- Windows 11
- Windows Server 2016+
IMPACT
- Remote Code Execution la nivel de kernel (CVE-2025-24985, CVE-2025-24993)
- Privilege Escalation la nivel SYSTEM (CVE-2025-24983, CVE-2025-24988)
- Exfiltrare de date (CVE-2025-24991, CVE-2025-24984)
- Manipulare configurare MMC și bypass al securității (CVE-2025-26633)
RECOMANDĂRI
- Aplicați patch-urile de securitate furnizate de Microsoft.
- Restricționați accesul la dispozitivele USB și fișierele VHD.
- Monitorizați activitatea sistemului pentru comportament neobișnuit.
- Activați protecțiile împotriva atacurilor la nivel de kernel.
- Revizuiți setările MMC și configurațiile de securitate.
Aplicarea patch-urilor furnizate de Microsoft este esențială pentru reducerea riscului de exploatare a vulnerabilităților. Pe lângă cele 7 zero-day-uri discutate, Microsoft a corectat și alte 50 de vulnerabilități, inclusiv: 23 de vulnerabilități de tip privilege escalation, 23 de vulnerabilități de tip remote code execution, 4 vulnerabilități de tip information disclosure, 3 vulnerabilități de tip security feature bypass, 1 vulnerabilitate de tip denial of service (DoS) și 3 vulnerabilități de tip spoofing. Aplicarea rapidă a acestor patch-uri reduce semnificativ suprafața de atac și îmbunătățește securitatea generală a infrastructurii IT.