Dwie nowe-stare luki w systemie Windows zaskoczyły niejednego badacza bezpieczeństwa. Jedna z nich była aktywnie wykorzystywana od… 2017 roku, druga natomiast — mimo prób załatania — nadal umożliwia zdalne przejęcie serwerów. Tym razem problem nie dotyczy pojedynczego błędu. Mało tego — problem dotyczy nawet procesu łatania dziur.
Niektóre błędy są naprawdę osobliwe: żyją sobie latami, ale nikt nie zauważa ich wykorzystania, o dziwo. Tak było z CVE-2025-9491 — błędem w sposobie, w jaki Windows obsługuje skróty .lnk. Owe pliki pozwalają uruchamiać programy i pliki jednym kliknięciem, bez szukania ich lokalizacji. W mechanizmie ukrył się błąd, który od 2017 roku wykorzystywało co najmniej 11 grup APT powiązanych z różnymi państwami.
Według firmy Trend Micro luka umożliwiała zdalne zainstalowanie złośliwego oprogramowania na systemach w blisko 60 krajach. Najczęściej atakowano infrastrukturę w USA, Kanadzie, Rosji i Korei Południowej. Co znamienne — przez siedem lat żaden z producentów zabezpieczeń nie zdołał powiązać ataków z konkretnym błędem. Microsoft dowiedział się o nim dopiero w marcu 2025 roku.
Chińskie echo w Europie
W październiku firma Arctic Wolf poinformowała, że grupa UNC-6384, powiązana z Chinami, aktywnie wykorzystuje CVE-2025-9491 do ataków na cele w Europie. Zainfekowane systemy otrzymują w końcowej fazie trojana zdalnego dostępu PlugX, znanego z wcześniejszych kampanii wiązanych z cyberwywiadem. Co ciekawe, kod złośliwego pliku pozostaje zaszyfrowany w formacie RC4 aż do ostatniego etapu ataku.
Badacze Arctic Wolf zauważyli, że sposób działania wielu zespołów jest zbyt spójny, by był przypadkowy. Ich zdaniem może chodzić nawet o dużą, skoordynowaną operację wywiadowczą lub równoległe działania kilku jednostek z wspólnym zapleczem technologicznym.
Microsoft nie ma łatki, użytkownicy muszą radzić sobie sami
Minęło siedem miesięcy od ujawnienia błędu, a Microsoft nadal nie wydał poprawki. A zatem, użytkownicy Windows mają tylko ograniczone możliwości obrony. Najskuteczniejszym sposobem pozostaje zablokowanie obsługi plików .lnk z nieznanych źródeł i wyłączenie automatycznego rozpoznawania skrótów w Eksploratorze Windows.
Skala problemu niestety jest spora — luka ma ocenę 7,0 w 10-stopniowej skali CVSS, a więc nadano jej wysoką istotność. Jeśli ktoś myśli, że „tylko skrót” nie może zainfekować sieci, powinien pamiętać, że dokładnie tak zaczynały się niektóre z największych ataków APT ostatniej dekady.
Poprawka była, ale nie działała
Równolegle światło dzienne ujrzała inna podatność — CVE-2025-59287. Tym razem chodzi o komponent Windows Server Update Services, czyli narzędzie administratorów do instalowania i aktualizowania aplikacji na serwerach. Luka ma ocenę 9,8/10, co wskazuje na absolutnie krytyczną lukę.
Microsoft próbował ją załatać w ramach październikowego patch tuesday. Niestety, po kilku dniach badacze odkryli, że łatka była nieskuteczna — wciąż umożliwiała zdalne wykonanie kodu. Wersja 2.0 poprawki pojawiła się dopiero tydzień później, kiedy było już za późno: od 23 października firmy Huntress, Eye i Sophos zaczęły notować aktywne ataki na serwery WSUS-a.
Czytaj również: To najbardziej irytujący błąd Windowsa 11. Microsoft go właśnie naprawił
Automatyczne ofiary
Ataki nie były precyzyjnie wymierzone. Jak wskazała firma Sophos, zainfekowane zostały systemy w różnych sektorach — od przemysłu po edukację — a wspólnym mianownikiem była jedynie dostępność serwera WSUS w Internecie. Część napastników korzystała z publicznie dostępnego (niestety) proof of concept, natomiast inni mogli rozwinąć własne wersje exploita.
Nawet administratorzy, którzy zainstalowali poprawkę Microsoftu natychmiast po jej upublicznieniu, przez kilka dni pozostawali i tak narażeni na atak. Microsoft nie napytał sobie tym większego zaufania w zakresie łatania własnych rozwiązań.
Oba incydenty pokazują nam więc, że skala problemu jest naprawdę ogromna. Gdy producent systemu przez lata nie zauważa luki, a później nie potrafi skutecznie załatać innej, okazuje się, że użytkownicy są zasadniczo bezbronni. Doszło do erozji zaufania. Pytanie, ile jeszcze takich „niespodzianek” kryje się w świecie Windows. Miejmy nadzieję, że takowych już nie ma — choć ryzyko (niestety) występuje zawsze.
