Nowy zero-day w Windowsie wykorzystywany w atakach!

ClearSky obiecało udostępnić dodatkowe szczegóły na swoim blogu, ale na razie w poście na X zasugerowało, że podatność w zabezpieczeniach systemu Windows została wykorzystana jako zero-day i nie przypisano jej jeszcze żadnego CVE.

Firma stwierdziła, że Microsoft jest świadomy istnienia luki, ale sklasyfikował ją jako zagrożenie „niskiej wagi”. ClearSky opisało problem jako „lukę w zabezpieczeniach interfejsu użytkownika” i twierdzi, że znalezione zostały dowody wykorzystania przez chińską APT o nazwie Mustang Panda (również przez nas opisywaną).

Firma udostępniła w serwisie X kilka szczegółów technicznych (podajemy za SecurityWeek):

„Kiedy pliki są wyodrębniane ze skompresowanych plików „RAR”, pozostają ukryte przed użytkownikiem. Jeśli skompresowane pliki są wyodrębniane do folderu, folder ten jest wyświetlany jako pusty w interfejsie graficznym Eksploratora Windows.

Podczas używania polecenia „dir” w celu wyświetlenia listy wszystkich plików i folderów w folderze docelowym wyodrębnione pliki i foldery są niewidoczne/ukryte dla użytkownika. Aktorzy zagrożeń lub użytkownicy mogą uruchamiać te skompresowane pliki z wiersza poleceń, jeśli znają dokładną ścieżkę.

W wyniku wykonania polecenia «attrib -s -h» na plikach chronionych przez system nieznany typ pliku jest tworzony z komponentu ActiveX typu «Nieznany»”.

Microsoft nie komentuje sytuacji.

Dobra informacja jest natomiast taka, że najnowsza runda aktualizacji Patch Tuesday od Microsoftu usuwa ponad 50 luk w zabezpieczeniach, w tym dwie, które zostały wykorzystane jako zero-daye, a mianowicie CVE-2025-21391, problem z eskalacją uprawnień pamięci masowej systemu Windows, który może zostać wykorzystany do usuwania plików z systemu, oraz CVE-2025-21418, lukę w sterowniku funkcji pomocniczych systemu Windows, która może zostać wykorzystana do eskalacji uprawnień do systemu.