Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
CVE-2025-26633 to podatność związana z obsługą plików MSC przez Microsoft Management Console (MMC) w systemach Windows. Problem wynika z niewystarczającego ostrzegania użytkownika przed otwarciem spreparowanego pliku konsoli administracyjnej, co może doprowadzić do uruchomienia kodu w kontekście bieżącego użytkownika.
W praktyce oznacza to, że plik kojarzony z legalnymi narzędziami administracyjnymi może zostać wykorzystany jako nośnik ataku. Taki scenariusz jest szczególnie groźny w środowiskach, gdzie pliki MSC są traktowane jako zaufane i używane na co dzień przez administratorów oraz zespoły wsparcia IT.
W skrócie
Luka CVE-2025-26633 dotyczy mechanizmu otwierania plików MSC w Windows i umożliwia wykonanie dowolnego kodu po otwarciu złośliwego pliku przez ofiarę. Publicznie dostępny proof of concept pokazuje, że odpowiednio przygotowany plik może uruchomić polecenia PowerShell i doprowadzić do utworzenia lokalnego konta z uprawnieniami administracyjnymi.
- podatność dotyczy Microsoft Management Console,
- wektorem ataku jest spreparowany plik MSC,
- kod uruchamiany jest w kontekście aktualnego użytkownika,
- luka została załatana przez Microsoft,
- podatność trafiła do katalogu Known Exploited Vulnerabilities, co wskazuje na jej wykorzystanie w realnych atakach.
Kontekst / historia
Microsoft Management Console od wielu lat stanowi podstawę licznych narzędzi administracyjnych dostępnych w systemach Windows. Format MSC służy do definiowania konsol i przystawek administracyjnych, dlatego w wielu organizacjach takie pliki nie budzą podejrzeń i są postrzegane jako element normalnej pracy operacyjnej.
To właśnie ten poziom domyślnego zaufania czyni MMC atrakcyjnym celem dla atakujących. Jeśli użytkownik zostanie nakłoniony do otwarcia pliku MSC dostarczonego pocztą elektroniczną, z udziału sieciowego lub poprzez pobranie z Internetu, może dojść do uruchomienia niepożądanych działań bez użycia klasycznego pliku wykonywalnego.
W przypadku CVE-2025-26633 zagrożenie wpisuje się w techniki nadużywania natywnych komponentów systemu operacyjnego. Atakujący wykorzystuje zaufane narzędzie Windows jako pośrednika do wykonania kodu, utrudniając wykrycie incydentu i zwiększając szansę powodzenia ataku.
Analiza techniczna
Publiczny materiał exploitacyjny pokazuje scenariusz, w którym plik MSC w formacie XML zawiera definicję akcji uruchamiającej polecenie systemowe. W przykładowym ładunku używany jest PowerShell uruchamiany w sposób ukryty, który tworzy nowe konto lokalne, ustawia hasło i dodaje użytkownika do grupy Administratorzy.
Nie jest to klasyczny błąd pamięci, lecz problem wynikający z niewłaściwego modelu zaufania do zawartości pliku MSC oraz niedostatecznego mechanizmu ostrzegania. Jeśli system pozostaje niezałatany, a użytkownik otworzy spreparowany plik, MMC może wykonać osadzoną akcję bez skutecznej bariery bezpieczeństwa.
Skuteczność ataku zależy od kilku czynników operacyjnych:
- sposobu dostarczenia pliku do ofiary,
- poziomu uprawnień zalogowanego użytkownika,
- konfiguracji PowerShell i polityk bezpieczeństwa,
- zastosowania kontroli aplikacyjnych,
- stanu poprawek na stacji roboczej lub serwerze.
Jeżeli ofiara posiada podwyższone uprawnienia, atak może szybko przełożyć się na pełne przejęcie systemu. W przypadku kont o niższych uprawnieniach podatność nadal umożliwia wykonanie kodu i może pełnić rolę etapu pośredniego do dalszej eskalacji, utrwalenia dostępu lub ruchu bocznego.
Opublikowany publicznie exploit nie przedstawia nowej klasy błędu, ale znacząco obniża próg wejścia dla mniej zaawansowanych operatorów. To zwiększa ryzyko, że technika będzie częściej wykorzystywana w kampaniach phishingowych i atakach oportunistycznych.
Konsekwencje / ryzyko
Najważniejszą konsekwencją CVE-2025-26633 jest możliwość uruchomienia dowolnych poleceń w kontekście bieżącego użytkownika. Taki dostęp może zostać szybko wykorzystany do dalszych działań post-exploitation, zwłaszcza w środowiskach z nadmiernymi uprawnieniami lokalnymi.
- tworzenie lokalnych kont uprzywilejowanych,
- uruchamianie skryptów i poleceń systemowych,
- instalacja mechanizmów persistence,
- pobieranie kolejnych komponentów malware,
- kradzież poświadczeń i przygotowanie ruchu bocznego,
- obchodzenie części kontroli skupionych wyłącznie na plikach EXE.
Ryzyko rośnie w organizacjach, które nie wdrożyły poprawek bezpieczeństwa, dopuszczają otwieranie plików z niezaufanych lokalizacji lub nie monitorują zachowania procesów takich jak mmc.exe i powershell.exe. Szczególnie narażone są stacje administracyjne oraz serwery używane interaktywnie.
Z perspektywy biznesowej skutki mogą obejmować przejęcie punktów końcowych, naruszenie poufności danych, zakłócenia operacyjne oraz wzrost kosztów reagowania na incydent. Umieszczenie luki w katalogu aktywnie wykorzystywanych podatności dodatkowo podnosi jej priorytet w procesie zarządzania ryzykiem.
Rekomendacje
Podstawowym działaniem ochronnym jest wdrożenie aktualizacji bezpieczeństwa udostępnionych przez Microsoft dla CVE-2025-26633. Organizacje powinny potwierdzić poziom załatania zarówno na stacjach roboczych, jak i na systemach administracyjnych oraz serwerach, gdzie uruchamiane są narzędzia MMC.
Warto również wdrożyć dodatkowe środki ograniczające możliwość nadużycia tej techniki:
- zablokować lub ograniczyć otwieranie plików MSC z niezaufanych lokalizacji,
- monitorować uruchomienia mmc.exe z nietypowych ścieżek użytkownika,
- korelować aktywność mmc.exe z procesami potomnymi, takimi jak powershell.exe, cmd.exe, wscript.exe i cscript.exe,
- ograniczyć możliwość tworzenia lokalnych kont oraz zmian członkostwa w grupie Administratorzy,
- stosować AppLocker, WDAC lub podobne mechanizmy kontroli aplikacyjnej,
- włączyć rejestrowanie działań PowerShell oraz monitorowanie zdarzeń tworzenia użytkowników lokalnych,
- szkolić administratorów i użytkowników w zakresie ryzyka związanego z plikami MSC spoza zaufanych źródeł,
- zweryfikować, czy EDR lub XDR wykrywają anomalie związane z wykorzystaniem MMC jako wektora wykonania kodu.
Z punktu widzenia SOC warto przygotować reguły wykrywające łańcuch obejmujący uruchomienie mmc.exe z nietypowego katalogu, następnie start powershell.exe, a później utworzenie konta lokalnego lub dodanie użytkownika do grupy administratorów. Taki zestaw zdarzeń może być silnym wskaźnikiem kompromitacji.
Podsumowanie
CVE-2025-26633 pokazuje, że nawet zaufane komponenty administracyjne Windows mogą stać się skutecznym wektorem ataku, jeśli mechanizmy ostrzegania i kontroli są niewystarczające. Spreparowany plik MSC może posłużyć do uruchomienia kodu, utrwalenia dostępu oraz lokalnej eskalacji uprawnień.
Publiczna dostępność proof of concept zwiększa ryzyko operacyjne, ponieważ upraszcza odtworzenie techniki przez atakujących. Dlatego kluczowe znaczenie mają szybkie patchowanie, monitorowanie aktywności mmc.exe, blokowanie nieautoryzowanych plików MSC oraz ścisła kontrola działań wykonywanych przez PowerShell i lokalne konta użytkowników.