Microsoft Patch Tuesday (październik 2025): 6 luk zero-day i 172 poprawki — co trzeba załatać w pierwszej kolejności - Security Bez Tabu

Microsoft Patch Tuesday (październik 2025): 6 luk zero-day i 172 poprawki — co trzeba załatać w pierwszej kolejności

Wprowadzenie do problemu / definicja luki

Microsoft opublikował zestaw poprawek Patch Tuesday z 14 października 2025 r., który usuwa 172 podatności, w tym 6 luk zero-day (część była aktywnie wykorzystywana). Zestaw obejmuje 8 luk oznaczonych jako „Critical”. To jednocześnie wydanie, które zbiegło się z końcem wsparcia dla Windows 10 w standardowym cyklu aktualizacji (z opcją ESU).

W skrócie

  • 172 CVE, w tym 6 zero-day; najwięcej to EoP (80), dalej RCE (31) i Information Disclosure (28).
  • Priorytet 1: CVE-2025-24990 (Agere Modem, EoP, exploited) i CVE-2025-59230 (Remote Access Connection Manager, EoP, exploited).
  • Windows 10: koniec wsparcia w Patch Tuesday; ścieżka ESU (w tym inicjatywy dla użytkowników w UE) — zaplanuj migrację.

Kontekst / historia / powiązania

Październikowe biuletyny tradycyjnie są „ciężkie”, ale w tym miesiącu wyróżnia się zarówno liczba CVE, jak i liczba EoP (eskalacje uprawnień), które często pełnią rolę łącznika w łańcuchach ataku po początkowym footholdzie. Dodatkowo, to wydanie zamyka standardowy cykl dla Windows 10; organizacje zostają ze ścieżką Extended Security Updates albo migracją do Windows 11/Windows Server nowszych wydań.

Analiza techniczna / szczegóły luki

6 zero-day w październiku 2025

Aktywnie wykorzystywane (exploited in the wild):

  1. CVE-2025-24990 — Agere Modem driver (ltmdm64.sys), EoP
    Microsoft usuwa podatny sterownik z systemu (może to unieruchomić powiązany sprzęt faks/modem). Wpływa na wspierane wersje Windows.
  2. CVE-2025-59230 — Remote Access Connection Manager (RasMan), EoP
    Błąd kontroli dostępu umożliwia lokalną eskalację do SYSTEM po pewnym nakładzie przygotowań.
  3. (Zgłoszenia do katalogu CISA KEV) — luki EoP w sterowniku Agere są klasyfikowane jako znane i wykorzystywane — potwierdza CISA KEV (priorytet patchowania).

Publicznie ujawnione / o wysokim ryzyku łańcuchowym:
4. CVE-2025-0033 — AMD SEV-SNP RMP corruption
Dotyczy środowisk wirtualizacji (hipernadzorca z uprzywilejowanym dostępem). Wpływ na integralność pamięci gościa.
5. CVE-2025-24052 — Agere Modem driver, EoP (pokrewne do 24990) — publicznie ujawnione.
6. CVE-2025-47827 — Secure Boot bypass (IGEL OS < 11)
Dodane do zbioru aktualizacji Microsoft; dotyczy łańcucha rozruchu (weryfikacja podpisu modułu igel-flash-driver).
7. CVE-2025-2884 — TCG TPM 2.0 (OOB read)
Potencjalny DoS/ujawnienie informacji w implementacji referencyjnej TPM 2.0 (aktualizacje włączone do paczek Microsoft).

Uwaga: różne firmy raportujące liczbę CVE podają czasem odmienne sumy z powodu innej metodologii liczenia (np. wyłączenie/uwzględnienie produktów chmurowych). Przykładowo, niezależne zestawienia wskazywały na 167–175 CVE; my opieramy się na 172 wg BleepingComputer i CrowdStrike.

Rozbicie wg typów podatności i produktów

  • 80× EoP, 31× RCE, 28× Info Disclosure, reszta: SFB, DoS, Spoofing.
  • Najwięcej poprawek dla Microsoft Windows (~134), dalej Office (~18) i Azure (~6).
    Te wnioski są spójne z analizą CrowdStrike dla bieżącego wydania.

Praktyczne konsekwencje / ryzyko

  • EoP jako „klej” łańcucha: luki w Agere i RasMan ułatwiają przejście z konta użytkownika/serwisu do SYSTEM i trwałą persystencję po początkowym włamaniu (phishing, BYOVD, błędy w aplikacjach).
  • Środowiska wirtualne i chmura: CVE-2025-0033 (AMD SEV-SNP) zwiększa ryzyko naruszenia izolacji maszyn poufnych w określonych modelach zagrożeń (uprzywilejowany hipernadzorca).
  • Łańcuch zaufania rozruchu/TPM: CVE-2025-47827 (Secure Boot) i CVE-2025-2884 (TPM 2.0) mogą podważać integralność platformy; wymagają testów zgodności w środowiskach z pełnym UEFI Secure Boot/Measured Boot.
  • Koniec wsparcia Windows 10: brak regularnych łat poza ESU podnosi powierzchnię ryzyka w organizacjach z długim ogonem urządzeń.

Rekomendacje operacyjne / co zrobić teraz

Priorytet łatania (48–72 h):

  1. CVE-2025-24990 (Agere, EoP, exploited) — zweryfikuj usunięcie sterownika; monitoruj wpływ na urządzenia faks/modem (wycofanie sprzętu legacy).
  2. CVE-2025-59230 (RasMan, EoP, exploited) — patch + reguły detekcji nietypowych wywołań usług RAS/rasdial, logon type 5/7 w korelacji z procesami VPN/RDP.
  3. CVE-2025-0033 (AMD SEV-SNP) — skoordynuj z zespołem wirtualizacji/Cloud Center of Excellence; sprawdź komunikaty Azure Service Health dla klastrów ACC.

Kontrole twardniejące i detekcyjne:

  • Włącz Kernel-mode Hardware-enforced Stack Protection (tam, gdzie wspierane), HVCI, ASR; zablokuj ładowanie niepodpisanych/ podatnych sterowników (WDAC z trybem „deny-list BYOVD”).
  • W SOC dołóż telemetrię ETW dla ładowania sterowników (Event ID 6, 7 w Sysmon), anomalii w RasMan, próby modyfikacji BCD/bootloadera (Secure Boot).
  • W TPM/UEFI: sprawdź logi PCR/Measured Boot i stan EKCert po aktualizacji (degradacje zaufania).

Zarządzanie Windows 10 / ESU:

  • Opracuj matrycę migracji do Windows 11 lub zarejestruj urządzenia do ESU (uwzględnij polityki regionalne; część użytkowników w UE otrzymuje rok ESU bezpłatnie — patrz szczegółowe omówienie).

Różnice / porównania z innymi przypadkami

W poprzednich miesiącach przeważały RCE i błędy w usługach sieciowych. W październiku wyraźnie rośnie udział EoP i temat BYOVD (sterowniki firm trzecich w obrazie systemu). Dodatkowo wątek Trusted Computing (Secure Boot/TPM) częściej pojawia się w biuletynach — to sygnał, by objąć tymi testami ścieżki CI/CD obrazów systemowych (golden image, autopatch).

Podsumowanie / kluczowe wnioski

  • Zalataj teraz: CVE-2025-24990 (Agere) i CVE-2025-59230 (RasMan).
  • Zaplanuj działania w wirtualizacji/chmurze dla CVE-2025-0033 (AMD SEV-SNP).
  • Zadbaj o integralność rozruchu (Secure Boot/TPM) po aktualizacjach.
  • Windows 10: podejmij decyzję ESU vs. migracja — zwłoka zwiększa ekspozycję.
  • Ustal wewnętrzne SLA patchingu na 7 dni dla krytycznych systemów użytkowych i 14 dni dla serwerów z oknami serwisowymi.

Źródła / bibliografia

  1. BleepingComputer — „Microsoft October 2025 Patch Tuesday fixes 6 zero-days, 172 flaws” (szczegóły CVE, zero-day). (BleepingComputer)
  2. CrowdStrike — „October 2025 Patch Tuesday: … 172 CVEs” (statystyki, rozbicie po typach i produktach). (CrowdStrike)
  3. Microsoft — Windows Message Center (oficjalny komunikat o dostępności aktualizacji i status Windows 10). (Microsoft Learn)
  4. CISA — Known Exploited Vulnerabilities Catalog (priorytetyzacja i potwierdzenie wykorzystywania). (CISA)
  5. Rapid7 — „Patch Tuesday – October 2025” (kontekst końca wsparcia Windows 10 i wzmianka o ESU). (Rapid7)