CISA ostrzega przed aktywnie wykorzystywaną luką Windows Task Host prowadzącą do eskalacji uprawnień - Security Bez Tabu

CISA ostrzega przed aktywnie wykorzystywaną luką Windows Task Host prowadzącą do eskalacji uprawnień

Cybersecurity news

Wprowadzenie do problemu / definicja

Amerykańska agencja CISA dodała podatność CVE-2025-60710 do katalogu Known Exploited Vulnerabilities, wskazując, że luka jest wykorzystywana w rzeczywistych atakach. Problem dotyczy komponentu Windows Task Host, odpowiedzialnego za obsługę zadań i bibliotek DLL działających w tle. Błąd umożliwia lokalną eskalację uprawnień do poziomu SYSTEM, co w praktyce oznacza możliwość pełnego przejęcia kontroli nad podatnym hostem.

W skrócie

CVE-2025-60710 to podatność typu privilege escalation w Windows Task Host. Jej źródłem jest nieprawidłowe rozwiązywanie odwołań do plików przed uzyskaniem dostępu do zasobu, klasyfikowane jako „link following”. Atakujący dysponujący podstawowymi uprawnieniami użytkownika może wykorzystać lukę lokalnie i podnieść swoje uprawnienia do SYSTEM. Podatność została załatana przez Microsoft w listopadzie 2025 roku, a 13 kwietnia 2026 roku trafiła do katalogu aktywnie eksploatowanych luk CISA.

Kontekst / historia

Windows Task Host jest ważnym elementem systemu operacyjnego Windows, pełniącym rolę kontenera dla procesów opartych na bibliotekach DLL. Komponent odpowiada za uruchamianie zadań działających w tle oraz ich poprawne zamykanie podczas wyłączania systemu. Ze względu na swoje uprzywilejowane miejsce w architekturze systemu wszelkie błędy w obsłudze plików i obiektów systemowych mogą prowadzić do poważnych konsekwencji bezpieczeństwa.

Podatność CVE-2025-60710 została ujawniona w listopadzie 2025 roku. Z dostępnych informacji wynika, że dotyczy wybranych wersji Windows 11 oraz Windows Server 2025. Kilka miesięcy po publikacji i udostępnieniu poprawek luka została wpisana do katalogu KEV prowadzonego przez CISA, co zwykle oznacza istnienie wiarygodnych przesłanek potwierdzających jej wykorzystanie w aktywnych kampaniach. Dla administracji federalnej USA wyznaczono termin usunięcia podatności do 27 kwietnia 2026 roku.

Analiza techniczna

Rdzeniem problemu jest mechanizm „improper link resolution before file access”, określany również jako „link following”. W praktyce oznacza to, że proces może w nieprawidłowy sposób zaufać odwołaniu do pliku lub obiektu systemowego, zanim zweryfikuje, do czego faktycznie prowadzi dane dowiązanie. Tego rodzaju błędy często dotyczą symlinków, junctionów lub innych metod przekierowania ścieżek w systemie plików.

Jeżeli uprzywilejowany komponent wykonuje operacje na plikach wskazanych pośrednio przez odwołania kontrolowane przez atakującego, możliwe staje się przekierowanie tej operacji do innego zasobu. W efekcie napastnik może doprowadzić do wykonania działań na plikach lub lokalizacjach, do których standardowo nie powinien mieć dostępu. W przypadku Windows Task Host skutkiem jest lokalne podniesienie uprawnień.

Publicznie dostępne informacje wskazują, że podatność charakteryzuje się niskim poziomem złożoności ataku, nie wymaga interakcji użytkownika i zakłada wcześniejsze posiadanie zwykłych uprawnień na systemie. To istotne z perspektywy operacyjnej, ponieważ luka nie stanowi wektora początkowego dostępu, ale może być bardzo skutecznym etapem po kompromitacji, wykorzystywanym do przejścia z konta użytkownika do pełnej kontroli nad systemem.

Dostępne dane wskazują również, że podatność została oceniona przez dostawcę na 7.8 w skali CVSS 3.1. W praktyce oznacza to wysokie ryzyko, szczególnie w środowiskach, w których napastnik może już uruchamiać kod lokalnie, na przykład po phishingu, nadużyciu makr, wykorzystaniu innej luki lub przejęciu sesji użytkownika.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją wykorzystania CVE-2025-60710 jest uzyskanie uprawnień SYSTEM. Taki poziom dostępu umożliwia wyłączenie mechanizmów ochronnych, instalację trwałych mechanizmów persistence, kradzież poświadczeń, modyfikację usług systemowych, manipulację dziennikami zdarzeń oraz dalszy ruch boczny w sieci.

W środowiskach korporacyjnych luka może być szczególnie niebezpieczna jako element łańcucha ataku. Napastnik, który uzyskał już punkt zaczepienia na stacji roboczej lub serwerze z ograniczonymi uprawnieniami, może użyć tej podatności do szybkiego przejęcia hosta i rozszerzenia zasięgu operacji. To zwiększa ryzyko wdrożenia ransomware, sabotażu systemów bezpieczeństwa oraz eksfiltracji danych.

Ryzyko dotyczy przede wszystkim organizacji, które nie wdrożyły listopadowych aktualizacji bezpieczeństwa z 2025 roku lub nadal korzystają z podatnych wersji Windows 11 i Windows Server 2025 bez odpowiednich poprawek. Dodatkowym czynnikiem ryzyka jest szerokie stosowanie lokalnych kont użytkowników, słaba segmentacja oraz brak monitorowania prób nadużycia mechanizmów dowiązań i operacji na chronionych ścieżkach.

Rekomendacje

Podstawowym działaniem obronnym jest niezwłoczne wdrożenie poprawek bezpieczeństwa udostępnionych przez Microsoft. Organizacje powinny zweryfikować, czy ich środowisko obejmuje podatne wersje Windows 11 i Windows Server 2025, a następnie potwierdzić poziom aktualizacji na stacjach roboczych oraz serwerach.

W praktyce warto wdrożyć następujące kroki:

  • przeprowadzić inwentaryzację systemów z podatnymi wersjami Windows,
  • potwierdzić instalację odpowiednich aktualizacji bezpieczeństwa,
  • priorytetowo traktować hosty dostępne dla użytkowników końcowych oraz systemy o wysokiej wartości,
  • monitorować zdarzenia wskazujące na nietypowe użycie symlinków, junctionów i operacji na ścieżkach systemowych,
  • ograniczać lokalne uprawnienia użytkowników zgodnie z zasadą najmniejszych uprawnień,
  • wzmacniać detekcję działań post-exploitation, w tym prób uzyskania tokenów uprzywilejowanych i modyfikacji usług,
  • analizować telemetrię EDR pod kątem sekwencji wskazujących na lokalną eskalację uprawnień.

Jeżeli organizacja nie może natychmiast wdrożyć aktualizacji, powinna rozważyć tymczasowe ograniczenie powierzchni ataku poprzez zaostrzenie kontroli aplikacyjnych, ograniczenie możliwości uruchamiania nieautoryzowanego kodu oraz zwiększone monitorowanie hostów narażonych na kompromitację lokalną. W środowiskach o podwyższonych wymaganiach bezpieczeństwa zalecane jest także przyspieszone polowanie na zagrożenia pod kątem aktywności po uzyskaniu dostępu użytkownika.

Podsumowanie

CVE-2025-60710 to przykład luki lokalnej eskalacji uprawnień, która nie daje napastnikowi zdalnego wejścia, ale w praktyce może mieć bardzo duże znaczenie operacyjne. Błąd w obsłudze mechanizmu „link following” w Windows Task Host umożliwia przejście z podstawowych uprawnień do poziomu SYSTEM, a wpisanie podatności do katalogu aktywnie eksploatowanych luk potwierdza jej realne znaczenie w bieżącym krajobrazie zagrożeń.

Dla zespołów bezpieczeństwa oznacza to konieczność szybkiej walidacji poziomu łatek, priorytetyzacji aktualizacji oraz wzmocnienia detekcji aktywności post-exploitation. W środowiskach Windows niezałatane podatności EoP pozostają jednym z najczęściej wykorzystywanych elementów skutecznych łańcuchów ataku.

Źródła

  1. BleepingComputer — CISA flags Windows Task Host vulnerability as exploited in attacks — https://www.bleepingcomputer.com/news/security/cisa-flags-windows-task-host-vulnerability-as-exploited-in-attacks/
  2. NIST National Vulnerability Database — CVE-2025-60710 — https://nvd.nist.gov/vuln/detail/CVE-2025-60710
  3. Microsoft Security Response Center — CVE-2025-60710 — https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-60710
  4. CISA Known Exploited Vulnerabilities Catalog — CVE-2025-60710 entry — https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-60710
  5. CWE-59 — Improper Link Resolution Before File Access (’Link Following’) — https://cwe.mitre.org/data/definitions/59.html