Poważna podatność w Windowsie. Zadbaj o aktualizację

W komunikacie Microsoftu z 11 lutego br. możemy przeczytać o podatności pozwalającej na podniesienie swoich uprawnień do poziomu „SYSTEM”, czyli najwyższych możliwych w Windowsie. Luka bezpieczeństwa dotyczy systemowego narzędzia do oczyszczania dysku (cleanmgr.exe). Podatności nadano 7,8 na 10 punktów w skali CVSS 3.1, co klasyfikuje ją jako HIGH (dosł. wysoka).

CNA (ang. CVE Naming Authority) zgłaszającym podatność był sam Microsoft. Nadano jej identyfikator CVE-2025-21420.

PoC, czyli jak wykorzystać podatność

Na GitHubie opublikowano PoC podatności, co opisywał m.in. Kapitan Hack. Według NetworkSec, podatność to DLL Sideloading, czyli możliwość uruchomienia innej biblioteki .dll niż oczekiwana podczas działania programu. Wspomniany plik może zawierać złośliwy kod, co dobrze pokazał Sekurak.

Co ważne, w opublikowanym wpisie nie opisano w jaki konkretnie sposób dochodzi do podniesienia uprawnień. Stwierdzono, że najprawdopodobniej wystarczy do tego zaczekanie do momentu, aż clearmgr.exe zostanie uruchomione przez system, np. przez zapełnienie dysku lub stworzenie wielu plików tymczasowych.

Kogo dotyczy podatność?

Wśród podatnych systemów operacyjnych wymieniono: Windows Server 2022, Windows Server 2019, Windows Server 2012, Windows Server 2025, Windows 10 i Windows 11. Informacja dotycząca wersji jest dostępna m.in. na cve.org.

Czy jest się czego bać?

Dotychczas nie potwierdzono wykorzystania podatności w realnych atakach. Przed wykorzystaniem luki bezpieczeństwa uchroni nas zaktualizowanie Windowsa do najnowszej wersji.

Wspomniana podatność została załatana podczas ostatniego „Patch Tuesday”, czyli cyklicznych poprawek bezpieczeństwa, wypuszczanych co drugi wtorek miesiąca. Crowdstrike podaje, że ostatnia taka aktualizacja łatała 67 różnych podatności, w tym trzy krytyczne oraz cztery 0-day’e. Część z nich była aktywnie wykorzystywana w atakach.

Konkluzja jest podobna jak w przypadku wielu innych podatności: rekomendowanym zachowaniem jest niezwłoczna aktualizacja oprogramowania.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].