W czwartek 13 lutego ClearSky Cyber Security – izraelska firma zajmująca się cyberwywiadem – ujawniła, że zaobserwowano powiązaną z Chinami APT (zaawansowaną grupę hakerską), wykorzystującą nową lukę w zabezpieczeniach systemu Windows.
ClearSky obiecało udostępnić dodatkowe szczegóły na swoim blogu, ale na razie w poście na X zasugerowało, że podatność w zabezpieczeniach systemu Windows została wykorzystana jako zero-day i nie przypisano jej jeszcze żadnego CVE.
Firma stwierdziła, że Microsoft jest świadomy istnienia luki, ale sklasyfikował ją jako zagrożenie „niskiej wagi”. ClearSky opisało problem jako „lukę w zabezpieczeniach interfejsu użytkownika” i twierdzi, że znalezione zostały dowody wykorzystania przez chińską APT o nazwie Mustang Panda (również przez nas opisywaną).
Firma udostępniła w serwisie X kilka szczegółów technicznych (podajemy za SecurityWeek):
„Kiedy pliki są wyodrębniane ze skompresowanych plików „RAR”, pozostają ukryte przed użytkownikiem. Jeśli skompresowane pliki są wyodrębniane do folderu, folder ten jest wyświetlany jako pusty w interfejsie graficznym Eksploratora Windows.
Podczas używania polecenia „dir” w celu wyświetlenia listy wszystkich plików i folderów w folderze docelowym wyodrębnione pliki i foldery są niewidoczne/ukryte dla użytkownika. Aktorzy zagrożeń lub użytkownicy mogą uruchamiać te skompresowane pliki z wiersza poleceń, jeśli znają dokładną ścieżkę.
W wyniku wykonania polecenia «attrib -s -h» na plikach chronionych przez system nieznany typ pliku jest tworzony z komponentu ActiveX typu «Nieznany»”.
Microsoft nie komentuje sytuacji.
Dobra informacja jest natomiast taka, że najnowsza runda aktualizacji Patch Tuesday od Microsoftu usuwa ponad 50 luk w zabezpieczeniach, w tym dwie, które zostały wykorzystane jako zero-daye, a mianowicie CVE-2025-21391, problem z eskalacją uprawnień pamięci masowej systemu Windows, który może zostać wykorzystany do usuwania plików z systemu, oraz CVE-2025-21418, lukę w sterowniku funkcji pomocniczych systemu Windows, która może zostać wykorzystana do eskalacji uprawnień do systemu.