We wtorek Microsoft opublikował aktualizacje zabezpieczeń obejmujące 57 nowych zagrożeń oraz dodatkowe 20 z poprzedniego miesiąca, co łącznie daje 77 załatanych luk. Wśród nich znajduje się siedem podatności typu zero-day, które zostały już wykorzystane lub są na dzień dzisiejszy znane publicznie.
Biuletyn March Patch Tuesday – szczegóły
Wśród załatanych podatności znajduje się publicznie ujawniona luka CVE-2025-26630 (oceniona jako „mniej prawdopodobna do wykorzystania” przez Microsoft) oraz aktywnie wykorzystywane:
- CVE-2025-24983,
- CVE-2025-24984,
- CVE-2025-24985,
- CVE-2025-24989 (oceniona jako krytyczna),
- CVE-2025-24991,
- CVE-2025-24993,
- CVE-2025-26633.
Najgroźniejszą z powyższych jest CVE-2025-24989, dotycząca Power Pages. Luka ta może pozwolić nieautoryzowanemu atakującemu na podniesienie uprawnień w sieci, potencjalnie omijając mechanizmy kontroli rejestracji użytkownika.
Dodatkowo Microsoft załatał siedem krytycznych podatności, umożliwiających zdalne wykonanie kodu. Dotyczą one różnych wersji systemu Windows oraz pakietu Office.
Podsumowanie załatanych luk
- Podniesienie uprawnień: 23 luki
- Obejście funkcji zabezpieczeń: 3 luki
- Zdalne wykonanie kodu: 23 luki
- Ujawnienie informacji: 4 luki
- Odmowa usługi: 1 luka
- Podszywanie się: 3 luki
Warto zauważyć, że powyższe liczby nie uwzględniają podatności w systemie Mariner oraz 10 luk w Microsoft Edge, które zostały załatane na początku miesiąca.
Sześć aktywnie wykorzystywanych luk zero-day
W ramach marcowego Patch Tuesday Microsoft załatał aż sześć aktywnie wykorzystywanych luk zero-day oraz jedną ujawnioną publicznie, co łącznie daje siedem podatności typu zero-day.
Według Microsoftu luka zero-day to taka, która została już ujawniona publicznie lub jest aktywnie wykorzystywana, a w momencie wykrycia nie miała jeszcze oficjalnej poprawki.
Kilka z tych podatności dotyczy systemu Windows NTFS, w tym problemów związanych z montowaniem dysków VHD.
Lista aktywnie wykorzystywanych luk zero-day wraz ze szczegółami
- CVE-2025-24983 – luka podniesienia uprawnień w podsystemie jądra Windows Win32. Pozwala lokalnym atakującym uzyskać uprawnienia SYSTEM po wygraniu wyścigu warunków. Microsoft nie ujawnił szczegółów dotyczących wykorzystania tej luki, ale wiadomo, że została odkryta przez Filipa Jurčacko z ESET.
- CVE-2025-24984 – luka ujawnienia informacji w systemie Windows NTFS. Atakujący z fizycznym dostępem do urządzenia mogą podłączyć złośliwy dysk USB i odczytać fragmenty pamięci sterty, wykradając informacje. Podatność została zgłoszona anonimowo.
- CVE-2025-24985 – luka zdalnego wykonania kodu w sterowniku systemu plików Windows Fast FAT. Spowodowana przepełnieniem liczby całkowitej lub błędem w sterowniku Windows Fast FAT. Atakujący mogą nakłonić użytkownika do zamontowania spreparowanego dysku VHD, który uruchomi lukę. Tego typu obrazy VHD były wcześniej wykorzystywane w phishingu i pirackim oprogramowaniu.
- CVE-2025-24991 – luka ujawnienia informacji w systemie Windows NTFS. Pozwala na odczytanie fragmentów pamięci sterty poprzez zmuszenie użytkownika do zamontowania złośliwego pliku VHD. Została zgłoszona anonimowo.
- CVE-2025-24993 – luka zdalnego wykonania kodu w systemie Windows NTFS, spowodowana błędem przepełnienia bufora sterty. Atakujący mogą nakłonić użytkownika do zamontowania spreparowanego dysku VHD, co pozwala na uruchomienie złośliwego kodu. Luka została zgłoszona anonimowo.
- CVE-2025-26633 – luka umożliwiająca obejście funkcji zabezpieczeń w Microsoft Management Console. Szczegóły dotyczące tej podatności nie zostały jeszcze ujawnione przez Microsoft.
To zdecydowanie intensywny miesiąc pod względem aktualizacji. Zaleca się jak najszybsze wdrożenie poprawek, aby zapobiec dalszemu wykorzystywaniu tych podatności, i ponowne uruchomienie systemów.