Archiwa: Windows - Strona 76 z 80 - Security Bez Tabu

Tag: Windows

CISA dodaje pięć nowych luk do katalogu KEV: Oracle E-Business Suite, Microsoft SMB, Kentico Xperience i starsza luka w Apple WebKit

Wprowadzenie do problemu / definicja luki

20 października 2025 r. amerykańska CISA dodała pięć nowych podatności do katalogu Known Exploited Vulnerabilities (KEV) – listy luk z potwierdzoną aktywną eksploatacją w środowiskach produkcyjnych. Dla administracji federalnej USA oznacza to obowiązek szybkiego remediowania, ale lista KEV jest de facto priorytetyzatorem patchy także dla sektora prywatnego na całym świecie. Nowe wpisy obejmują m.in. Oracle E-Business Suite, Windows SMB Client, Kentico Xperience oraz starszą lukę w Apple WebKit/JavaScriptCore.

W skrócie

  • CVE-2025-61884 (Oracle E-Business Suite, Runtime/Configurator)SSRF, zdalnie i bez uwierzytelnienia, umożliwia dostęp do zasobów wewnętrznych. Patch: Security Alert Oracle z 11–12 października 2025.
  • CVE-2025-33073 (Microsoft Windows SMB Client)improper access control / EoP (eskalacja uprawnień po sieci). Załatane przez Microsoft w czerwcowych aktualizacjach 2025.
  • CVE-2025-2746 (Kentico Xperience, Staging Sync Server, digest/empty SHA1 username)bypass uwierzytelniania, krytyczna.
  • CVE-2025-2747 (Kentico Xperience, Staging Sync Server, password type = None)bypass uwierzytelniania, krytyczna. Poprawki dostępne (hotfixy > 13.0.178).
  • CVE-2022-48503 (Apple WebKit/JavaScriptCore)RCE przez treść WWW (bounds check). Załatane w 2022 r. (iOS/iPadOS 15.6, macOS 12.5, Safari 15.6, tvOS 15.6, watchOS 8.7).

Termin dla FCEB (USA): do 10 listopada 2025 r. (remediacja nowych pozycji). Dla wszystkich innych organizacji – rekomendowane niezwłoczne działania.

Kontekst / historia / powiązania

  • Oracle EBS było już w październiku w centrum uwagi z powodu dwóch głośnych luk (w tym RCE CVE-2025-61882). Najnowsza CVE-2025-61884 to kolejny krytyczny element łańcucha ataku wykorzystywany w kampaniach wyłudzeniowych i eksfiltracyjnych.
  • Kentico Xperience: dwa różne błędy w module Staging Sync Server umożliwiają ominięcie uwierzytelnienia i przejęcie obiektów administracyjnych; to typowy „pre-auth” krok prowadzący do RCE.
  • Microsoft SMB Client (CVE-2025-33073): znany wektor lateral movement; po załataniu nadal wymaga utwardzenia konfiguracji SMB.
  • Apple WebKit (CVE-2022-48503): starsza, ale wciąż eksploatowana luka w JSCore, co dowodzi, że długo nieaktualizowane urządzenia pozostają atrakcyjnym celem.

Analiza techniczna / szczegóły luki

Oracle E-Business Suite – CVE-2025-61884 (SSRF):

  • Komponent: Runtime (Oracle Configurator).
  • Wektor: zdalny, bez uwierzytelnienia; SSRF pozwala proxy’ować żądania do zasobów wewnętrznych (np. serwisy admin, metadane chmurowe), potencjalnie eskalując do RCE w łańcuchu ataku.
  • Status: Security Alert i poprawki dostępne od 11–12.10.2025.

Windows – CVE-2025-33073 (SMB Client, EoP):

  • Charakter: improper access control w kliencie SMB; umożliwia eskalację uprawnień w kontekście sieciowym po uwierzytelnieniu (typowo w ramach ruchu wewnętrznego).
  • Status: załatane w June 2025 (Patch Tuesday).

Kentico Xperience – CVE-2025-2746 / CVE-2025-2747 (Auth bypass):

  • Moduł: Staging Sync Server (SOAP).
  • 2746: obsługa pustych nazw użytkownika (SHA1) w digest auth → przejęcie obiektów administracyjnych.
  • 2747: obsługa password type = None → analogiczny bypass.
  • Zasięg: wersje do 13.0.172/178 (zależnie od CVE).
  • Skutek: pre-auth takeover CMS i typowe przejście do RCE poprzez import obiektów/zadań.

Apple – CVE-2022-48503 (WebKit/JavaScriptCore):

  • Błąd: niewłaściwe sprawdzanie zakresów (bounds); przetworzenie złośliwej treści WWW → RCE.
  • Załatane od lipca 2022 w szeregu platform (iOS/iPadOS/macOS/Safari/watchOS/tvOS). Eksploatacja w 2025 dotyczy głównie niezaktualizowanych urządzeń.

Praktyczne konsekwencje / ryzyko

  • Oracle EBS (SSRF): ryzyko eksfiltracji danych i pivotu do usług wewnętrznych (np. API, usługi konfiguracyjne, metadane chmurowe). W kampaniach obserwowano dalszą eskalację i wymuszenia.
  • Windows SMB Client: ułatwia ruch boczny po początkowym wstępie (np. po phishingu), szczególnie w sieciach z szeroko otwartym SMB i słabą segmentacją.
  • Kentico Xperience: pełne przejęcie CMS i możliwość wstrzyknięcia złośliwych artefaktów do łańcucha CI/CD treści, a następnie drive-by na użytkowników końcowych.
  • Apple WebKit: RCE z przeglądarki na urządzeniach nieobsługiwanych/nieaktualnych – cenne cele dla ataków ukierunkowanych i masowych (watering hole).

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowa inwentaryzacja i priorytetyzacja pod kątem nowych wpisów KEV (SBOM, CMDB, EDR, skanery, zapytania do MDM/Intune/Jamf). Traktuj KEV jako backlog „patch-first”.
  2. Oracle EBS (CVE-2025-61884):
    • Zastosuj Security Alert/patch Oracle bez zwłoki.
    • W krótkim terminie – egress filtering z hostów EBS oraz deny-list do metadanych chmurowych/IMDS, WAF z regułami SSRF, segmentacja sieci.
  3. Windows (CVE-2025-33073):
    • Upewnij się, że June 2025 CU jest wdrożony wszędzie; wymuś SMB signing, ogranicz NTLM, egzekwuj firewall hostowy i LAPS.
  4. Kentico Xperience (CVE-2025-2746/2747):
    • Aktualizuj do hotfixów > 13.0.178 (lub zgodnie z zaleceniami producenta); jeśli Staging Sync Server nie jest niezbędny – wyłącz; wymuś TLS/mTLS i IP allow-list na endpointach stagingu.
  5. Apple (CVE-2022-48503):
    • Wycofaj lub zaktualizuj urządzenia do wersji zawierających łatę (min. iOS/iPadOS 15.6, macOS 12.5, Safari 15.6 itd.). W MDM dodaj reguły blokujące przeglądarki na EOL.
  6. Detekcja i hunting (przykłady):
    • Szukaj nietypowych wywołań HTTP z EBS do adresów wewnętrznych/IMDS, wzorce SSRF (HTTP 169.254.169.254, metadane chmury).
    • Koreluj anomalie SMB (nietypowe sesje, masowe enumeracje, wzrost STATUS_ACCESS_DENIED) po ostatnich logowaniach z niskich poziomów uprawnień.
    • Logi Kentico: żądania do endpointów Staging SOAP bez prawidłowego kontekstu uwierzytelnienia; nagłe zmiany obiektów administracyjnych.
  7. Zarządzanie ryzykiem biznesowym: wpisz nowe CVE do Risk Register, przypisz SLA < 14 dni (dla KEV – najlepiej 7–10 dni), egzekwuj kompensacje (WAF, segmentacja) tam, gdzie patch chwilowo niemożliwy.

Różnice / porównania z innymi przypadkami

  • SSRF (Oracle) to wektor często niedoszacowany – w przeciwieństwie do klasycznego RCE, SSRF bywa „cichym” krokiem do pivotu; porównaj z wcześniejszymi kampaniami na IMDS w chmurze.
  • Auth-bypass w Kentico to przykład pre-auth przejęcia panelu CMS – podobnie jak znane łańcuchy w innych CMS, ale tutaj Sync Server jest unikatowym komponentem API.
  • SMB EoP przypomina inne luki w ekosystemie Windows, gdzie słaba segmentacja zamienia medium-severity w krytyczne ryzyko lateral movement.

Podsumowanie / kluczowe wnioski

  • Dodanie pięciu pozycji do KEV to jasny sygnał: eksploatacja trwa.
  • Priorytet 1: Oracle EBS (SSRF) oraz Kentico (auth-bypass), ponieważ dają szybkie przejęcie środowisk internetowych.
  • Priorytet 2: Windows SMB (EoP) – kluczowe dla ograniczenia ruchu bocznego.
  • Higiena podstawowa: aktualizacje Apple/WebKit na urządzeniach zalegających w starszych wersjach.
  • Termin dla agencji FCEB: 10.11.2025 – dobry celowy SLA także dla firm prywatnych.

Źródła / bibliografia

  1. CISA – Alert z 20 października 2025: „CISA Adds Five Known Exploited Vulnerabilities to Catalog”. (CISA)
  2. The Hacker News – „Five New Exploited Bugs Land in CISA’s Catalog — Oracle and Microsoft Among Targets” (lista CVE, termin 10.11.2025). (The Hacker News)
  3. Oracle – Security Alert: CVE-2025-61884 (E-Business Suite). (Oracle)
  4. NVD – CVE-2025-33073 (Windows SMB Client). (NVD)
  5. NVD – CVE-2025-2747 (Kentico Xperience, Staging Sync Server). (NVD)

TikTok i „ClickFix”: jak krótkie filmiki napędzają infekcje infostealerami (Vidar, StealC, RedLine)

Wprowadzenie do problemu / definicja luki

Atakujący coraz częściej wykorzystują krótkie filmiki na TikToku jako przynętę do kampanii ClickFix – socjotechnicznej techniki nakłaniającej ofiarę do samodzielnego uruchomienia złośliwych poleceń pod pozorem „szybkiej naprawy” lub „aktywacji” oprogramowania. Najnowsza fala dotyczy filmów podszywających się pod poradniki aktywacji Windows/Office czy „premium” Spotify/Netflix i prowadzi do instalacji infostealerów (m.in. Vidar, StealC), które kradną hasła, ciasteczka sesyjne i dane portfeli krypto.

W skrócie

  • Kanał dystrybucji: TikTok (krótkie wideo + link w bio/komentarzu).
  • Technika: ClickFix – ofiara wykonuje „naprawcze” kroki (PowerShell/batch, pobranie „aktywatora”, wyłączenie AV).
  • Ładunki: głównie Vidar, StealC, obserwowany także RedLine w pokrewnych kampaniach.
  • Cel: kradzież poświadczeń i sesji do usług chmurowych/SaaS, eskalacja ataków BEC i przejęć kont.
  • Nowość: kampanie są ciągłe – po majowych raportach badaczy nadal trwają i adaptują się.

Kontekst / historia / powiązania

Microsoft zidentyfikował ClickFix w kampaniach e-mailowych już w 2024 r. (np. dystrybucja DarkGate), opisując wzorzec: fałszywa diagnoza problemu + „kliknij, by naprawić” → uruchomienie skryptu. W 2025 r. technika przeniosła się na platformy społecznościowe (TikTok), co znacząco zwiększyło zasięg i tempo infekcji. Równolegle obserwowano wykorzystanie ClickFix w innych łańcuchach (GHOSTPULSE/Stealer, RedLine).

Analiza techniczna / szczegóły luki

Wejście (Initial Access):

  1. Filmik na TikToku udaje poradnik „aktywacji”/„naprawy” i kieruje do skrótu/strony z „narzędziem” lub poleceniami do wklejenia (często PowerShell).
  2. Czasem „instrukcja” wymaga wyłączenia ochrony (Defender/SmartScreen), co toruje drogę do droppera.

Wykonanie (Execution):

  • Polecenia PS pobierają loader (np. przez Invoke-WebRequest/bitsadmin) i uruchamiają go z parametrami ukrywającymi aktywność (tymczasowe katalogi, LOLBins).
  • Stosowane są archiwa samorozpakowujące, pliki .bat/.vbs i living-off-the-land, aby ominąć sygnatury. Opisane schematy są spójne z wcześniejszymi obserwacjami ClickFix (DarkGate/GHOSTPULSE).

Ładunek (Payload):

  • Vidar i StealC – typowe funkcje: kradzież haseł z przeglądarek (Chromium/Firefox), plików cookie, tokenów, autofill, danych komunikatorów i portfeli; eksfiltracja na C2.
  • W innych gałęziach kampanii: RedLine Stealer jako downstream payload.

Trwałość i zaciemnianie:

  • Harmonogram zadań/Run Keys, pliki w %AppData% i %LocalAppData%, czasem packery.
  • Domeny C2 często rotują; krótkie żywoty kont TikTok ograniczają możliwość reakcji platformy. (Wniosek na podstawie raportów o rotacji infrastruktury i zbieżnych TTPs ClickFix).

Wskaźniki i TTPs (MITRE ATT&CK):

  • T1566.002 (Socjotechnika – media społecznościowe), T1059.001 (PowerShell), T1105 (Exfiltracja przez kanał zdalny), T1053.005 (Trwałość – Task Scheduler), T1112/T1562 (Modyfikacja zabezpieczeń). (Mapowanie na podstawie publikacji technicznych Microsoft/Elastic/Trend Micro).

Praktyczne konsekwencje / ryzyko

  • Kompromitacja kont osobistych i służbowych (SaaS, poczta, CRM, Git, chmura) przez przejęte cookie sesyjne i hasła → BEC, przejęcia repozytoriów, nadużycia API.
  • Uderzenie w MDM/środowiska BYOD – infekcje na urządzeniach niezarządzanych stają się punktem wejścia do tożsamości korporacyjnych. Okta pokazuje, że duża część nadużyć poświadczeń pochodzi z takich urządzeń.
  • Ryzyko eskalacji: dosyłanie loaderów/RAT-ów, np. DarkGate/GHOSTPULSE, dalsza pivotacja w sieci.

Rekomendacje operacyjne / co zrobić teraz

Dla SOC/Blue Team:

  • Detekcje PowerShell/LOLBins: alerty na Invoke-WebRequest, curl.exe, bitsadmin, nietypowe Start-Process z katalogów tymczasowych; inspekcja Child-Process z przeglądarek.
  • Telemetria przeglądarek: monitoruj nietypowe odczyty plików profili (Login Data, Cookies) i tworzenie archiwów w %AppData%.
  • Zasady EDR/Defender: blokuj uruchamianie PS bez podpisu, egzekwuj ASR (blokowanie uruchamiania skryptów z Office/OneNote, wyłączanie makr z Internetu).
  • Network/C2: TLS SNI/JA3 do znanych rodzin (Vidar/StealC/RedLine), egress filtering, DNS sinkhole; reaguj na nagłe zmiany domen krótkowiecznych.
  • Hunting/IR: przeszukaj Scheduled Tasks, Run/RunOnce, katalogi %AppData%, %LocalAppData%, artefakty PS (Microsoft-Windows-PowerShell/Operational). (Wzorce zgodne z techniką ClickFix i raportami Microsoft/Elastic/Trend).

Dla IT/SecOps:

  • Zarządzaj przeglądarkami i hasłami: wymuś passkeys/2FA, seedy haseł w managerach, politykę „bez zapisywania haseł w przeglądarce” dla kont służbowych.
  • Ogranicz BYOD lub segmentuj dostęp; wprowadź device posture checks (kompatybilność z EDR/MDM).
  • Application Control: wdroż WDAC/AppLocker, blokuj wykonywalne z %Temp%/Downloads.
  • Edukacja ukierunkowana: krótkie scenariusze o „aktywatorach”, „crackach” i fałszywych poradnikach wideo – pokaż, jak wygląda prawdziwy vs. złośliwy „fix”. (Zbieżne z obserwacjami trwałości kampanii).

Dla użytkowników:

  • Nie wyłączaj ochrony AV „na chwilę”.
  • Nie uruchamiaj skryptów z komentarzy/biogramów.
  • Aktualizacje i licencje tylko z oficjalnych źródeł.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • ClickFix vs. Fake CAPTCHA/Malvertising: Fake CAPTCHA zmusza do wklejenia komend „weryfikacyjnych” na stronach z reklam; ClickFix przenosi mechanikę do wideo-poradnika i buduje większe zaufanie (efekt „tutorialu”). Trend Micro opisało oba wektory – kampanie TikTok są nowszą iteracją.
  • ClickFix vs. FileFix/Messenger phish: pokrewne wzorce socjotechniki (naprawa/aktualizacja) – w 2025 r. widziano także warianty podszywające się pod alerty Facebooka („FileFix”). (Wniosek porównawczy na tle szerszego trendu).

Podsumowanie / kluczowe wnioski

ClickFix to nie pojedyncza kampania, lecz utrwalona technika socjotechniczna adaptowana do różnych kanałów. TikTok – dzięki formatowi „szybkich poradników” – stał się skutecznym dystrybutorem infostealerów (Vidar/StealC/RedLine). Obrona wymaga połączenia telemetrii endpointowej, kontroli przeglądarek, polityk tożsamości i edukacji ukierunkowanej na realne przykłady „aktywizujących” filmów.

Źródła / bibliografia

  1. BleepingComputer – „TikTok videos continue to push infostealers in ClickFix attacks”, 19 października 2025. (BleepingComputer)
  2. Trend Micro – „TikTok Videos Promise Pirated Apps, Deliver Vidar and StealC”, 21 maja 2025. (www.trendmicro.com)
  3. Microsoft Threat Intelligence – „Think before you Click(Fix): Analyzing the ClickFix social engineering technique”, 21 sierpnia 2025. (Microsoft)
  4. Elastic Security Labs – „A Wretch Client: From ClickFix deception to information stealer deployment”, 17 czerwca 2025. (Elastic)
  5. Okta – „How this ClickFix campaign leads to Redline Stealer”, 3 lipca 2025. (sec.okta.com)

Silver Fox rozszerza ataki Winos 4.0 na Japonię i Malezję. Nowy łańcuch z HoldingHands RAT i zwinne obejście EDR

Wprowadzenie do problemu / definicja luki

18 października 2025 r. opisano nową fazę kampanii chińskojęzycznej grupy Silver Fox (znanej też jako SwimSnake, The Great Thief of Valley / Valley Thief, UTG-Q-1000, Void Arachne), która do tej pory intensywnie wykorzystywała framework Winos 4.0 (ValleyRAT). Najnowsze obserwacje pokazują rozszerzenie celów z Chin i Tajwanu na Japonię i Malezję, z wykorzystaniem HoldingHands RAT (Gh0stBins) dostarczanego przez wieloetapowe łańcuchy phishingowe oparte na PDF/ZIP/HTML. Atak kładzie nacisk na unikanie wykrycia i wyłączanie produktów bezpieczeństwa.

W skrócie

  • Wektor wejścia: e-maile phishingowe podszywające się pod ministerstwa finansów, faktury, rozporządzenia podatkowe (PDF z osadzonymi linkami → fałszywe strony pobierania → archiwa ZIP z loaderami).
  • Malware: Winos 4.0 / ValleyRAT oraz HoldingHands RAT (rodzina inspirowana Gh0st RAT).
  • Eskalacja i ukrywanie: m.in. BYOVD (wcześniejsza fala), sideloading DLL, łańcuch DLL/DAT wyzwalany przez Harmonogram zadań dla utrudnienia detekcji behawioralnej.
  • Nowość: możliwość zdalnej aktualizacji adresu C2 z poziomu rejestru (komenda 0x15), dojrzałe mechanizmy anty-VM i anty-AV (Norton/Avast/Kaspersky).
  • Zasięg geograficzny: Chiny → Tajwan → JaponiaMalezja (kampanie z I–X 2025).

Kontekst / historia / powiązania

Fortinet udokumentował styczniowe i lutowe 2025 ataki na Tajwan z Winos 4.0, następnie – w czerwcu – łańcuchy z HoldingHands i Gh0stCringe. We wrześniu potwierdzono falę SEO poisoning (fałszywe instalatory Chrome/Telegram/WPS/DeepL na stronach-klonach, wieloetapowe JSON-redirecty). Równolegle Check Point przypisał Silver Fox wykorzystanie podpisanego przez Microsoft podatnego sterownika WatchDog Anti-malware (amsdk.sys) w modelu BYOVD, do wyłączania EDR/AV i wdrażania ValleyRAT. Najnowszy wpis Fortinet z 17 października wiąże wszystkie te tropy, pokazując przejście kampanii na Japonie i Malezję.

Analiza techniczna / szczegóły luki

Łańcuch infekcji (wariant Malezja/Japonia, 2025-10):

  1. PDF/Word/HTML z odnośnikami (często do Tencent Cloud lub domen z prefiksem „tw*”) → strona pobrania w lokalnym języku (np. japoński) → ZIP z „audyt podatkowy” EXE.
  2. EXE ładuje złośliwy dokan2.dll (sideloading), który inicjuje sw.dat (loader z anty-VM, impersonacją TrustedInstaller, eskalacją uprawnień).
  3. sw.dat upuszcza w C:\Windows\System32\:
    svchost.ini (RVA VirtualAlloc), TimeBrokerClient.dll (przemianowany na BrokerClientCallback.dll), msvchost.dat (zaszyfrowany shellcode), system.dat (zaszyfrowany payload), opcj. wkscli.dll. Następnie zabija usługę Harmonogramu zadań, licząc na jej automatyczny restart po 1 minucie. Po restarcie svchost.exe wczytuje złośliwy TimeBrokerClient.dll – co utrudnia reguły behawioralne oparte na „uruchomieniu procesu przez użytkownika”.
  4. TimeBrokerClient.dll wylicza adres VirtualAlloc z svchost.ini, odszyfrowuje msvchost.dat, a z niego system.dat → końcowy HoldingHands ładowany w pamięci.
  5. Anty-AV: enumeracja procesów (Norton/Avast/Kaspersky) i próby ich ubicia; w razie wykrycia – modyfikacja przebiegu lub przerwanie działania.
  6. C2 i nowe komendy: heartbeat co 60 s, zrzuty ekranu/klawiatury, polecenia zdalne, dogrywanie modułów; aktualizacja adresu C2 przez rejestr HKCU\Software\HHClient\AdrrStrChar (komenda 0x15).

Starsze/alternatywne wektory Silver Fox (2025-05/09):

  • SEO poisoning + trojanizowane instalatory (EnumW.dll → vstdlib.dll → AIDE.dll; persistence przez skróty/COM hijacking), kradzież krypto, monitor ekranów.
  • BYOVD z podatnym, podpisanym sterownikiem WatchDog (amsdk.sys) – wyłączanie/terminowanie procesów AV/EDR na poziomie jądra, poza listą Microsoft Vulnerable Driver Blocklist w chwili odkrycia.

Praktyczne konsekwencje / ryzyko

  • Ucieczka przed EDR: wyzwalanie przez Harmonogram zadań po restarcie usługi sprawia, że nie widać „typowego” łańcucha procesów inicjowanego przez użytkownika.
  • Trwałość i sterowalność: zdalna zmiana C2 w rejestrze pozwala utrzymać dostęp mimo blokad sieci/infrastruktury.
  • Ryzyko sektorowe/regionalne: wysoka skuteczność socjotechniki w urzędach/finansach (tematy podatkowe), obecnie szczególnie Japonia i Malezja, wcześniej Tajwan i Chiny.

Rekomendacje operacyjne / co zrobić teraz

  1. E-mail & web: blokuj HTML/PDF z osadzonymi linkami w korespondencji finansowo-podatkowej; sandboxing plików ZIP/EXE; filtruj nowe/dziwne domeny z prefiksami „tw*”, hostingi chmurowe użyte w kampanii.
  2. EDR/telemetria: dodaj reguły na anomalię: restart usługi Schedule → natychmiastowe ładowanie TimeBrokerClient.dll przez svchost.exe, tworzenie plików svchost.ini / msvchost.dat / system.dat w System32. (Reguły behawioralne / Sigma/EDR custom).
  3. Rejestr & procesy: monitoruj klucz HKCU\Software\HHClient (wartość AdrrStrChar) oraz nietypowe instancje taskhostw.exe inicjowane przez CreateProcessAsUser z kontekstu svchost.exe –s Schedule.
  4. AV/EDR hardening: aktualizuj Microsoft Vulnerable Driver Blocklist i polityki blokowania sterowników; sprawdź obecność/ładowanie amsdk.sys (WatchDog) oraz artefaktów BYOVD wskazanych przez Check Point.
  5. Proxy/DNS/Netflow: alertuj na beacon 60 s do świeżych adresów C2; utrzymuj listy wskaźników z ostatnich raportów Fortinet/Seqrite.
  6. Edukacja użytkowników: kampanie uświadamiające wokół fałszywych pism ministerialnych i „audytów podatkowych”, w j. lokalnym (JP/MS).

Różnice / porównania z innymi przypadkami

  • Na tle klasycznych kampanii Gh0st-rodziny Silver Fox stosuje nietypowy trigger (restart usługi Schedule) oraz modułową aktualizację C2 z rejestru – to rzadziej spotykane w prostych klonach Gh0st RAT.
  • W porównaniu z wcześniejszą falą SEO-poisoning, obecne lury urzędowe (JP/MY) są bardziej ukierunkowane regionalnie i nie wymagają pozycjonowania wyszukiwarek.
  • BYOVD (WatchDog/Zemana) to technika na wyższym szczeblu uprzywilejowania niż typowe „userland” sideloadingi – pozwala agresywnie wyłączać ochronę przed dostarczeniem ValleyRAT/HoldingHands.

Podsumowanie / kluczowe wnioski

Silver Fox konsekwentnie iteruje taktyki: od phishingu podatkowego w Tajwanie (I–II 2025), przez SEO poisoning (VIII–IX 2025), aż po Japonie i Malezję (X 2025) z łańcuchem DLL/DAT wyzwalanym przez Harmonogram zadań i HoldingHands RAT jako finalnym payloadem. Nowo dodana aktualizacja C2 przez rejestr zwiększa odporność na blokady. Organizacje w regionie APAC (szczególnie finanse/administracja) powinny natychmiast wzmocnić kontrolę poczty, polityki sterowników oraz detekcje behawioralne wokół svchost.exe –s Schedule i artefaktów svchost.ini/msvchost.dat/system.dat.

Źródła / bibliografia

  • The Hacker News: „Silver Fox Expands Winos 4.0 Attacks to Japan and Malaysia via HoldingHands RAT” (18 października 2025). (The Hacker News)
  • Fortinet FortiGuard Labs: „Tracking Malware and Attack Expansion: A Hacker Group’s Journey across Asia” (17 października 2025). Główne źródło techniczne. (Fortinet)
  • Check Point Research: „Chasing the Silver Fox: Cat & Mouse in Kernel Shadows” – nadużycie sterownika WatchDog (BYOVD) (28 sierpnia 2025). (Check Point Research)
  • Seqrite Labs: „Operation Silk Lure: Scheduled Tasks Weaponized for DLL Side-Loading (drops ValleyRAT)” (ok. 16 października 2025). (Seqrite)
  • The Hacker News: „HiddenGh0st, Winos and kkRAT Exploit SEO, GitHub Pages in Chinese Malware Attacks” (15 września 2025). (The Hacker News)

Korea Północna wykorzystuje „EtherHiding”: malware ukryty w smart kontraktach kradnie krypto i dane deweloperów

Wprowadzenie do problemu / definicja luki

16 października 2025 r. Google Threat Intelligence Group (GTIG/Mandiant) poinformował o pierwszym potwierdzonym użyciu techniki EtherHiding przez aktora państwowego – klaster przypisywany Korei Północnej (UNC5342). EtherHiding polega na osadzaniu złośliwego kodu w smart kontraktach na publicznych blockchainach (m.in. BNB Smart Chain, Ethereum) i wykorzystywaniu ich jak odpornego na wyłączenia „dead drop resolvera” do pobierania ładunków malware.

Technika wpisuje się w szerszą taktykę „dead drop resolver” opisaną w ATT&CK, gdzie legitymne usługi webowe przechowują wskaźniki do dalszej infrastruktury C2 lub payloadów, utrudniając blokowanie i atrybucję.

W skrócie

  • Kto: UNC5342 (aliasy m.in. DeceptiveDevelopment/DEV#POPPER/Famous Chollima).
  • Co: użycie EtherHiding do dostarczania wieloetapowego malware oraz kradzieży kryptowalut i poświadczeń.
  • Kiedy: kampania aktywna co najmniej od lutego 2025 r.; publiczne ujawnienie 16 października 2025 r.
  • Jak: socjotechnika na LinkedIn + przeniesienie rozmowy do Telegram/Discord; uruchamianie złośliwych zadań „testowych”.
  • Dlaczego to ważne: blockchain zapewnia odporność na Takedown, wersjonowanie payloadów i pseudonimowość wdrażających kontrakt.

Kontekst / historia / powiązania

Opisana aktywność łączy się z długotrwałą kampanią „Contagious Interview”, w której atakujący podszywają się pod rekruterów i celują w programistów/freelancerów. ESET od początku 2024 r. śledził zbliżony klaster „DeceptiveDevelopment”, dokumentując m.in. dążenie do kradzieży krypto-portfeli i danych z menedżerów haseł. To buduje ciągłość między wcześniejszymi operacjami a obecnym wykorzystaniem EtherHiding.

Równolegle media branżowe (np. CyberScoop) wskazują na rosnące użycie technik utrudniających wykrycie przez północnokoreańskie grupy – adopcja blockchaina jako elementu łańcucha dostarczania to kolejny krok tej ewolucji.

Analiza techniczna / szczegóły luki

Łańcuch infekcji (wysoki poziom):

  1. Lure & Initial Execution: ofiara (dev) wykonuje „zadanie rekrutacyjne” dostarczone po kontakcie przez LinkedIn → Telegram/Discord. Uruchamiany jest początkowy downloader, często w formie pakietu npm.
  2. BeaverTail (JS stealer): kradnie dane przeglądarki, rozszerzeń i portfeli, przygotowuje system pod kolejne etapy.
  3. JADESNOW (JS downloader): komponent, który komunikuje się z blockchainem (kontrakty na BSC/ETH) w trybie tylko-do-odczytu, by pobrać kolejny ładunek.
  4. InvisibleFerret (JS wariant backdoora): zapewnia zdalną kontrolę i długotrwałą eksfiltrację (m.in. MetaMask, Phantom, menedżery haseł). Na wybranych hostach doinstalowywany jest przenośny interpreter Pythona, aby uruchomić dodatkowe moduły kradnące.

Dlaczego blockchain? Smart kontrakt pełni rolę „bulletproof hostingu” dla wskaźników/payloadu: jest trudny do usunięcia, może być modyfikowany niskim kosztem (GTIG podaje średnie opłaty gazu rzędu ok. 1–2 USD na aktualizację), a odczyt danych z łańcucha nie zostawia śladów na dysku serwera atakującego.

Wieloplatformowość: kampania obejmuje Windows, macOS i Linux; do inicjalnej fazy wykorzystywane są artefakty deweloperskie (np. paczki npm), co zwiększa wiarygodność w oczach celu.

TTPs (wybrane):

  • T1102.001 Web Service: Dead Drop Resolver (odczyt z kontraktów/txn).
  • Pakiety ekosystemu JavaScript/npm jako nośnik initial stage.
  • Socjotechnika via LinkedIn → Telegram/Discord z pretekstem rekrutacji.

Praktyczne konsekwencje / ryzyko

  • Odporność na Takedown: klasyczne blokady domen/C2 niewystarczają – punktem dystrybucyjnym jest blockchain, nie pojedynczy serwer.
  • Aktywne wersjonowanie ładunków: aktor może szybko przestawiać wskaźniki i code-chunks w kontrakcie (niski koszt gazu), co utrudnia IOC-based hunting.
  • Docelowi użytkownicy o wysokich uprawnieniach: deweloperzy często dysponują tokenami, kluczami i dostępami do środowisk CI/CD, co podnosi ryzyko wtórnej kompromitacji łańcucha dostaw.

Rekomendacje operacyjne / co zrobić teraz

Prewencja i hardening

  • Zasada „no task artifacts”: Zabroń uruchamiania binarek/skryptów dostarczonych w procesie rekrutacji. Wymagaj repo z powtarzalnym buildem i SBOM; uruchamiaj w izolacji (devcontainer/VM). (Wnioski na bazie ESET/GTIG).
  • Blokowanie dostępu do RPC publicznych (ETH/BSC) z hostów deweloperskich, o ile nie są potrzebne; ewentualnie proxy-allowlist dla konkretnych endpointów. (Wniosek analityczny na bazie TTP).
  • Policy na menedżery haseł i portfele: separacja profili przeglądarki, wymuszenie hardware-wallet dla środków firmowych.

Detekcja i monitoring

  • Use case „Blockchain as C2/DDR”: monitoruj nietypowe zapytania HTTP(s)/WebSocket do publicznych endpointów RPC (Infura, Ankr, Alchemy, publiczne BSC RPC) z hostów, które nie powinny rozmawiać z sieciami L1/L2. Koreluj z uruchomieniem node/py interpretera. (Mapowanie do T1102.001).
  • Hunting w przeglądarce: zdarzenia dot. rozszerzeń portfeli (MetaMask/Phantom), anomalia w plikach Local Storage/IndexedDB; detekcje na exfil JS-stealerów (BeaverTail).
  • Npm supply chain: alerty na instalację/uruchomienie niezweryfikowanych paczek lub niespodziewanych post-install scripts.

IR/Response

  • Odcinaj dostęp do providerów RPC na czas triage; zrzut pamięci przeglądarki i artefaktów rozszerzeń; rotacja kluczy API/CI i sekretów z menedżerów. (Wniosek operacyjny spójny z TTP opisywanymi przez GTIG/ESET).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

„EtherHiding” nie jest całkowicie nową koncepcją – w przeszłości przestępcy nadużywali smart kontraktów do ukrywania JS dla kampanii np. na WordPress – ale po raz pierwszy potwierdzono adopcję tej metody przez aktor państwowy (DPRK). To istotny skok jakościowy względem wcześniejszych kampanii wykorzystujących tradycyjny hosting, paste-serwisy czy social media jako „dead drop”.

Podsumowanie / kluczowe wnioski

  • EtherHiding w wykonaniu UNC5342 pokazuje, że blockchain stał się elementem łańcucha dostarczania APT – nie tylko celem kradzieży krypto.
  • Obrona wymaga policy-driven ograniczenia dostępu do RPC, sandboxingu zadań rekrutacyjnych i behawioralnych detekcji na interakcje z łańcuchem bloków.
  • Zespoły powinny zaktualizować model zagrożeń o scenariusze „Blockchain as C2/DDR” i przygotować playbooki IR pod kradzież portfeli/przeglądarki.

Źródła / bibliografia

  1. Google Threat Intelligence (Mandiant): „DPRK adopts EtherHiding to deliver malware and steal cryptocurrency” – 16.10.2025. (Google Cloud)
  2. The Hacker News: „North Korean Hackers Use EtherHiding to Hide Malware Inside Blockchain Smart Contracts” – 16.10.2025. (The Hacker News)
  3. ESET WeLiveSecurity: „DeceptiveDevelopment targets freelance developers…” – 20.02.2025. (We Live Security)
  4. MITRE ATT&CK T1102.001 – Web Service: Dead Drop Resolver. (MITRE ATT&CK)
  5. CyberScoop: „North Korean operatives spotted using evasive techniques…” – 16.10.2025. (CyberScoop)

Luki w Fuji Electric V-SFT (HMI Configurator): analiza techniczna, skutki dla OT i jak się zabezpieczyć

Wprowadzenie do problemu / definicja luki

W oprogramowaniu V-SFT (konfigurator HMI dla paneli MONITOUCH firmy Fuji Electric) ujawniono nowy pakiet podatności, które mogą prowadzić do wykonania dowolnego kodu na stacji inżynierskiej po otwarciu specjalnie spreparowanego pliku projektu. Luki dotyczą wersji 6.2.7.0 i starszych i zostały ujęte przez JPCERT/CC pod numerem JVNVU#90008453 (zestaw CVE-2025-61856 … 61864). Producent udostępnił aktualizację do V-SFT 6.2.9.0.

W skrócie

  • Wpływ: wykonanie kodu, ujawnienie informacji, awaria aplikacji (ABEND) po otwarciu złośliwego pliku V-SFT.
  • Wektor: atak wymaga interakcji użytkownika (socjotechnika / dostarczenie projektu V-SFT).
  • Zakres: dotyczy stacji inżynierskich Windows w zespołach OT (inżynierowie HMI/SCADA).
  • Łatki: aktualizacja do 6.2.9.0 (strona producenta nie nazywa wprost “security fix”, ale to wersja wskazana przez JPCERT).

Kontekst / historia / powiązania

To kolejny w tym roku pakiet luk w V-SFT. W maju 2025 JPCERT publikował JVNVU#97228144 (CVE-2025-47749 … 47760) dotyczący wersji 6.2.5.0 i starszych – również z ryzykiem RCE po otwarciu plików V7/V8. Zatem obserwujemy ciągłość problemów w parserach formatów projektu V-SFT.

Badacz Michael Heinzl opublikował własne advisories i wskazuje, że w ostatnich miesiącach załatano ponad 20 błędów w tym ekosystemie narzędziowym.

Analiza techniczna / szczegóły luki

Pakiet październikowy (JVNVU#90008453) obejmuje m.in.:

  • CVE-2025-61856stack-based buffer overflow w VS6ComFile!CV7BaseMap::WriteV7DataToRom.
  • CVE-2025-61857 … 61859out-of-bounds write w różnych ścieżkach przetwarzania obiektów/animacji.
  • CVE-2025-61860 … 61863out-of-bounds read w modułach pamięci/serializacji.
  • CVE-2025-61864use-after-free w load_link_inf.

Wszystkie ocenione na CVSS v4.0: 8.4 (High) oraz CVSS v3.1: 7.8 (High). Warunkiem skuteczności jest otwarcie spreparowanego pliku przez operatora/inżyniera; wykonanie następuje z uprawnieniami zalogowanego użytkownika.

Zakres wersji:V-SFT v6.2.7.0 i starsze” – oficjalna nota JPCERT. Producent publikuje „Improvement information” dla 6.2.9.0, która jest wskazywana jako docelowa przez JPCERT, mimo że release notes nie nazywają zmian „security”.

Praktyczne konsekwencje / ryzyko

  • Przejęcie stacji inżynierskiej: wykonanie kodu pozwala na instalację narzędzi zdalnego dostępu, kradzież poświadczeń i pivot do sieci OT/IT.
  • Łańcuch dostaw projektów HMI: atakujący mogą podszywać się pod integratorów/partnerów i dostarczać „aktualizację” projektu.
  • Ataki bezpośrednio na środowisko produkcyjne: choć luki nie „dotykają” bezpośrednio paneli HMI, kompromitacja stacji inżynierskiej zwiększa ryzyko nieautoryzowanej zmiany logiki/ekranu HMI, a w konsekwencji wpływu na proces.
  • Niski próg socjotechniczny: wystarczy nakłonić inżyniera do otwarcia pliku.

Rekomendacje operacyjne / co zrobić teraz

  1. Zaktualizuj V-SFT do 6.2.9.0 na wszystkich stacjach inżynierskich (zgodnie ze wskazaniem JPCERT). Zweryfikuj hash/pochodzenie instalatora.
  2. Zablokuj uruchamianie projektów z nieznanych źródeł. Wprowadź whitelisting dostawców/projektów HMI.
  3. Segmentacja OT: stacje inżynierskie w osobnej strefie, dostęp z IT tylko przez jump hosty i MFA.
  4. Polityka poczty i wymiany plików: sandboxing załączników, skanowanie na bramkach, blokada makr/nietypowych rozszerzeń projektów V-SFT.
  5. Uprawnienia minimalne: użytkownicy V-SFT bez praw administratora; włącz Application Control/SRP/WDAC.
  6. Monitoring: reguły EDR/SIEM pod kątem nieoczekiwanego uruchamiania procesów potomnych przez V-SFT, kompilatorów, PowerShell/WSH.
  7. Testy IR: scenariusz „złośliwy projekt HMI” w planach ćwiczeń blue teamu.
  8. Przegląd poprzednich ostrzeżeń: jeśli wciąż działają wersje ≤6.2.5.0, zastosuj zalecenia z wcześniejszego JVNVU#97228144.

Różnice / porównania z innymi przypadkami

  • Ten sam wektor, nowe prymitywy: zarówno pakiet majowy (CVE-2025-47749…60), jak i październikowy (CVE-2025-61856…64) opierają się na błędach parsowania plików (OOB R/W, UAF, stack overflow), ale uderzają w inne komponenty DLL i ścieżki (np. CV7BaseMap, CItemDraw, WinFont*).
  • Ścieżka łatania: w październiku wskazana wersja docelowa to 6.2.9.0; w maju – aktualizacja wyższa niż 6.2.5.0. Ciągła potrzeba aktualizacji podkreśla wagę zarządzania wersjami narzędzi inżynierskich w OT.
  • Widoczność po stronie vendorów/CSIRT: SecurityWeek nagłaśnia, JPCERT formalnie koordynuje; CISA wcześniej publikowała advisories dla linii V-SFT/TELLUS, co pokazuje stałe zainteresowanie regulatorów ICS tym ekosystemem.

Podsumowanie / kluczowe wnioski

  • Najnowszy pakiet CVE dla V-SFT ≤6.2.7.0 umożliwia RCE po otwarciu pliku; ryzyko wysokie (CVSS v4.0: 8.4).
  • Aktualizacja do 6.2.9.0 jest w tej chwili kluczowym środkiem zaradczym, mimo niejednoznacznych not w „Improvement information”.
  • Organizacje powinny traktować stacje inżynierskie jak systemy o podwyższonym ryzyku: twarda segmentacja, kontrola źródeł projektów, EDR i polityki wymiany plików.

Źródła / bibliografia

  • SecurityWeek: „Fuji Electric HMI Configurator Flaws Expose Industrial Organizations to Hacking”, 16 października 2025. (SecurityWeek)
  • JPCERT/CC (JVN): JVNVU#90008453 – Multiple vulnerabilities in FUJI Electric V-SFT, 8 października 2025. (Japan Vulnerability Notes)
  • JPCERT/CC (JVN): JVNVU#97228144 – Multiple vulnerabilities in V-SFT, 14 maja 2025. (Japan Vulnerability Notes)
  • Fuji Electric / Hakko: Improvement information (V-SFT-6) – lista wersji, w tym 6.2.9.0. (Monitouch)
  • aweSEC (Michael Heinzl): lista advisories 2025 z pozycjami dotyczącymi Fuji Electric V-SFT. (awesec.com)

Gladinet łata aktywnie wykorzystywany zero-day w CentreStack (CVE-2025-11371)

Wprowadzenie do problemu / definicja luki

Gladinet wydał poprawkę dla biznesowego rozwiązania do udostępniania plików CentreStack, usuwając podatność CVE-2025-11371. To nieautoryzowana LFI (Local File Inclusion), która była aktywnie wykorzystywana od końca września. Patch jest dostępny w wersji 16.10.10408.56683 CentreStack. Triofox pozostaje powiązany funkcjonalnie, ale komunikaty o wydaniu łaty dotyczą wprost CentreStack.

W skrócie

  • Id: CVE-2025-11371 (LFI, ujawnienie plików systemowych bez uwierzytelnienia).
  • Status: ataki „in the wild” potwierdzone (co najmniej trzy ofiary); patch już dostępny (16.10.10408.56683).
  • Wektor nadużycia: odczyt Web.config → przejęcie machineKey → podpisanie danych i RCE przez deserializację ViewState.
  • Wersje podatne (wg NVD): wszystkie do i łącznie z 16.7.10368.56560.

Kontekst / historia / powiązania

W kwietniu 2025 ujawniono krytyczne CVE-2025-30406: twardo zakodowane klucze kryptograficzne (machineKey) umożliwiały RCE przez deserializację ViewState. Błąd załatano (min. CentreStack 16.4.10315.56368), ale nowy zero-day CVE-2025-11371 pozwalał napastnikom odzyskać klucz z dysku i ponownie osiągnąć RCE mimo kwietniowej łaty. Stąd fala ataków we wrześniu/październiku.

Analiza techniczna / szczegóły luki

Huntress opisał ścieżkę nadużycia: publiczny endpoint obsługiwany przez klasę GladinetStorage.TempDownload w komponencie GSUploadDownloadProxy akceptował ciągi z sekwencjami przejścia katalogu. To pozwalało na odczyt dowolnych plików względem katalogu tymczasowego – w praktyce również .../root/Web.config. Po pobraniu Web.config atakujący wyciągał machineKey i przechodził do RCE poprzez przygotowanie złośliwego ViewState (deserializacja po stronie serwera). Huntress udostępnił minimalistyczny 1-liner PowerShell do pobrania Web.config jako PoC po tym, jak Gladinet wypuścił patch.

NVD potwierdza klasyfikację błędu jako LFI umożliwiającą niezamierzone ujawnienie plików oraz wskazuje zakres wersji podatnych (≤16.7.10368.56560). Horizon3.ai dodatkowo podkreśla, że LFI → machineKey → RCE to łańcuch ataku możliwy w domyślnych instalacjach CentreStack/Triofox.

Praktyczne konsekwencje / ryzyko

  • Przełamanie uwierzytelniania logicznego: dowolny, nieautoryzowany klient może czytać pliki aplikacyjne/OS (LFI).
  • Eskalacja do pełnego kompromisu hosta Windows: po uzyskaniu machineKey możliwe jest zdalne wykonanie kodu z uprawnieniami procesu serwera WWW (w praktyce często SYSTEM).
  • Ryzyko wtórne: kradzież danych klientów, pivot do sieci wewnętrznej, wstrzyknięcie web-shella, trwałość poprzez zadania harmonogramu/usługi.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiast zaktualizuj CentreStack do 16.10.10408.56683 (panel aktualizacji/instalator). Zweryfikuj wersję po aktualizacji.
  2. Jeśli patch chwilowo niemożliwy – zastosuj mitigacje Huntress:
    • Wyłącz handler t.dn w UploadDownloadProxy\Web.config (usunięcie wpisu mapującego).
    • Ogranicz ekspozycję portali (geofencing/VPN/WAF), jeśli to możliwe.
  3. Natychmiastowa detekcja/IR:
    • Przejrzyj logi pod kątem żądań typu GET /storage/t.dn?s=..\..\..\Program+Files+(x86)\Gladinet+Cloud+Enterprise\root\Web.config&sid=1.
    • Szukaj nietypowych POST z zakodowanymi base64 payloadami oraz plików tymczasowych zawierających wyniki poleceń (np. CentreStac_log.txt).
    • Zresetuj/obróć wartości machineKey i inne sekrety, jeśli istnieje podejrzenie odczytu Web.config.
  4. Twarde utwardzenie konfiguracji ASP.NET:
    • Wymuś custom machineKey generowany per-instancję (nie domyślne).
    • Włącz ViewState MAC i rozważ ViewStateUserKey (zgodnie z best practices). (Wniosek wynikający z analizy mechanizmu ataku.)
  5. Atak łańcuchowy a stare CVE: upewnij się, że CVE-2025-30406 było wcześniej załatane (min. 16.4.10315.56368). Ten błąd historycznie umożliwiał RCE i pozostaje częścią łańcucha, jeśli machineKey jest znany.

Różnice / porównania z innymi przypadkami

  • CVE-2025-30406 (kwiecień 2025): problem z twardo zakodowanymi kluczami w Web.config → natychmiastowe RCE; naprawiony w 16.4.x.
  • CVE-2025-11371 (październik 2025): LFI pozwala wydobyć machineKey z Web.config, co odtwarza warunki do RCE znane z wcześniejszej luki. Ta podatność została teraz załatana w 16.10.x.

Podsumowanie / kluczowe wnioski

  • Patch jest już dostępny – zaktualizuj do 16.10.10408.56683 bez zwłoki.
  • LFI w CentreStack nie wymaga uwierzytelnienia i prowadzi do RCE przez kradzież machineKey.
  • Nawet organizacje załatane na kwietniowe CVE-2025-30406 były podatne, dopóki CVE-2025-11371 pozostawało niezałatane.
  • W logach szukaj śladów odczytu Web.config i nietypowych base64 payloadów. W razie podejrzeń rotuj klucze/sekrety i przeprowadź IR.

Źródła / bibliografia

  • BleepingComputer: „Gladinet fixes actively exploited zero-day in file-sharing software” (16 października 2025) – informacja o wydaniu łat 16.10.10408.56683. (BleepingComputer)
  • Huntress: „Active Exploitation of Gladinet CentreStack and Triofox Local File Inclusion Flaw (CVE-2025-11371)” – techniczne szczegóły LFI, ścieżka eksploatacji, IoC i mitigacje. Aktualizacja z 15 października. (Huntress)
  • NVD: CVE-2025-11371 – opis podatności i zakres wersji podatnych (≤16.7.10368.56560). (NVD)
  • NVD: CVE-2025-30406 – wcześniejsza luka RCE (hardcoded machineKey) oraz wersja naprawcza 16.4.10315.56368. (NVD)
  • Horizon3.ai: Analiza CVE-2025-11371 (LFI → RCE) – omówienie łańcucha ataku. (Horizon3.ai)

Microsoft Patch Tuesday (październik 2025): 6 luk zero-day i 172 poprawki — co trzeba załatać w pierwszej kolejności

Wprowadzenie do problemu / definicja luki

Microsoft opublikował zestaw poprawek Patch Tuesday z 14 października 2025 r., który usuwa 172 podatności, w tym 6 luk zero-day (część była aktywnie wykorzystywana). Zestaw obejmuje 8 luk oznaczonych jako „Critical”. To jednocześnie wydanie, które zbiegło się z końcem wsparcia dla Windows 10 w standardowym cyklu aktualizacji (z opcją ESU).

W skrócie

  • 172 CVE, w tym 6 zero-day; najwięcej to EoP (80), dalej RCE (31) i Information Disclosure (28).
  • Priorytet 1: CVE-2025-24990 (Agere Modem, EoP, exploited) i CVE-2025-59230 (Remote Access Connection Manager, EoP, exploited).
  • Windows 10: koniec wsparcia w Patch Tuesday; ścieżka ESU (w tym inicjatywy dla użytkowników w UE) — zaplanuj migrację.

Kontekst / historia / powiązania

Październikowe biuletyny tradycyjnie są „ciężkie”, ale w tym miesiącu wyróżnia się zarówno liczba CVE, jak i liczba EoP (eskalacje uprawnień), które często pełnią rolę łącznika w łańcuchach ataku po początkowym footholdzie. Dodatkowo, to wydanie zamyka standardowy cykl dla Windows 10; organizacje zostają ze ścieżką Extended Security Updates albo migracją do Windows 11/Windows Server nowszych wydań.

Analiza techniczna / szczegóły luki

6 zero-day w październiku 2025

Aktywnie wykorzystywane (exploited in the wild):

  1. CVE-2025-24990 — Agere Modem driver (ltmdm64.sys), EoP
    Microsoft usuwa podatny sterownik z systemu (może to unieruchomić powiązany sprzęt faks/modem). Wpływa na wspierane wersje Windows.
  2. CVE-2025-59230 — Remote Access Connection Manager (RasMan), EoP
    Błąd kontroli dostępu umożliwia lokalną eskalację do SYSTEM po pewnym nakładzie przygotowań.
  3. (Zgłoszenia do katalogu CISA KEV) — luki EoP w sterowniku Agere są klasyfikowane jako znane i wykorzystywane — potwierdza CISA KEV (priorytet patchowania).

Publicznie ujawnione / o wysokim ryzyku łańcuchowym:
4. CVE-2025-0033 — AMD SEV-SNP RMP corruption
Dotyczy środowisk wirtualizacji (hipernadzorca z uprzywilejowanym dostępem). Wpływ na integralność pamięci gościa.
5. CVE-2025-24052 — Agere Modem driver, EoP (pokrewne do 24990) — publicznie ujawnione.
6. CVE-2025-47827 — Secure Boot bypass (IGEL OS < 11)
Dodane do zbioru aktualizacji Microsoft; dotyczy łańcucha rozruchu (weryfikacja podpisu modułu igel-flash-driver).
7. CVE-2025-2884 — TCG TPM 2.0 (OOB read)
Potencjalny DoS/ujawnienie informacji w implementacji referencyjnej TPM 2.0 (aktualizacje włączone do paczek Microsoft).

Uwaga: różne firmy raportujące liczbę CVE podają czasem odmienne sumy z powodu innej metodologii liczenia (np. wyłączenie/uwzględnienie produktów chmurowych). Przykładowo, niezależne zestawienia wskazywały na 167–175 CVE; my opieramy się na 172 wg BleepingComputer i CrowdStrike.

Rozbicie wg typów podatności i produktów

  • 80× EoP, 31× RCE, 28× Info Disclosure, reszta: SFB, DoS, Spoofing.
  • Najwięcej poprawek dla Microsoft Windows (~134), dalej Office (~18) i Azure (~6).
    Te wnioski są spójne z analizą CrowdStrike dla bieżącego wydania.

Praktyczne konsekwencje / ryzyko

  • EoP jako „klej” łańcucha: luki w Agere i RasMan ułatwiają przejście z konta użytkownika/serwisu do SYSTEM i trwałą persystencję po początkowym włamaniu (phishing, BYOVD, błędy w aplikacjach).
  • Środowiska wirtualne i chmura: CVE-2025-0033 (AMD SEV-SNP) zwiększa ryzyko naruszenia izolacji maszyn poufnych w określonych modelach zagrożeń (uprzywilejowany hipernadzorca).
  • Łańcuch zaufania rozruchu/TPM: CVE-2025-47827 (Secure Boot) i CVE-2025-2884 (TPM 2.0) mogą podważać integralność platformy; wymagają testów zgodności w środowiskach z pełnym UEFI Secure Boot/Measured Boot.
  • Koniec wsparcia Windows 10: brak regularnych łat poza ESU podnosi powierzchnię ryzyka w organizacjach z długim ogonem urządzeń.

Rekomendacje operacyjne / co zrobić teraz

Priorytet łatania (48–72 h):

  1. CVE-2025-24990 (Agere, EoP, exploited) — zweryfikuj usunięcie sterownika; monitoruj wpływ na urządzenia faks/modem (wycofanie sprzętu legacy).
  2. CVE-2025-59230 (RasMan, EoP, exploited) — patch + reguły detekcji nietypowych wywołań usług RAS/rasdial, logon type 5/7 w korelacji z procesami VPN/RDP.
  3. CVE-2025-0033 (AMD SEV-SNP) — skoordynuj z zespołem wirtualizacji/Cloud Center of Excellence; sprawdź komunikaty Azure Service Health dla klastrów ACC.

Kontrole twardniejące i detekcyjne:

  • Włącz Kernel-mode Hardware-enforced Stack Protection (tam, gdzie wspierane), HVCI, ASR; zablokuj ładowanie niepodpisanych/ podatnych sterowników (WDAC z trybem „deny-list BYOVD”).
  • W SOC dołóż telemetrię ETW dla ładowania sterowników (Event ID 6, 7 w Sysmon), anomalii w RasMan, próby modyfikacji BCD/bootloadera (Secure Boot).
  • W TPM/UEFI: sprawdź logi PCR/Measured Boot i stan EKCert po aktualizacji (degradacje zaufania).

Zarządzanie Windows 10 / ESU:

  • Opracuj matrycę migracji do Windows 11 lub zarejestruj urządzenia do ESU (uwzględnij polityki regionalne; część użytkowników w UE otrzymuje rok ESU bezpłatnie — patrz szczegółowe omówienie).

Różnice / porównania z innymi przypadkami

W poprzednich miesiącach przeważały RCE i błędy w usługach sieciowych. W październiku wyraźnie rośnie udział EoP i temat BYOVD (sterowniki firm trzecich w obrazie systemu). Dodatkowo wątek Trusted Computing (Secure Boot/TPM) częściej pojawia się w biuletynach — to sygnał, by objąć tymi testami ścieżki CI/CD obrazów systemowych (golden image, autopatch).

Podsumowanie / kluczowe wnioski

  • Zalataj teraz: CVE-2025-24990 (Agere) i CVE-2025-59230 (RasMan).
  • Zaplanuj działania w wirtualizacji/chmurze dla CVE-2025-0033 (AMD SEV-SNP).
  • Zadbaj o integralność rozruchu (Secure Boot/TPM) po aktualizacjach.
  • Windows 10: podejmij decyzję ESU vs. migracja — zwłoka zwiększa ekspozycję.
  • Ustal wewnętrzne SLA patchingu na 7 dni dla krytycznych systemów użytkowych i 14 dni dla serwerów z oknami serwisowymi.

Źródła / bibliografia

  1. BleepingComputer — „Microsoft October 2025 Patch Tuesday fixes 6 zero-days, 172 flaws” (szczegóły CVE, zero-day). (BleepingComputer)
  2. CrowdStrike — „October 2025 Patch Tuesday: … 172 CVEs” (statystyki, rozbicie po typach i produktach). (CrowdStrike)
  3. Microsoft — Windows Message Center (oficjalny komunikat o dostępności aktualizacji i status Windows 10). (Microsoft Learn)
  4. CISA — Known Exploited Vulnerabilities Catalog (priorytetyzacja i potwierdzenie wykorzystywania). (CISA)
  5. Rapid7 — „Patch Tuesday – October 2025” (kontekst końca wsparcia Windows 10 i wzmianka o ESU). (Rapid7)