Artykul

Majowa fala ataków zero-day: co musisz wiedzieć o najnowszych lukach w Windows

Majowa fala ataków zero-day: co musisz wiedzieć o najnowszych lukach w Windows W maju 2025 roku świat cyberbezpieczeństwa został postawiony w stan najwyższej gotowości. Wspólnymi siłami eksperci z Google, CrowdStrike oraz Microsoft zidentyfikowali i załatali p

22.05.2025 4 min czytania import
Cyberatak i podatnosci zero-day w systemach Windows

Majowa fala ataków zero-day: co musisz wiedzieć o najnowszych lukach w Windows

W maju 2025 roku świat cyberbezpieczeństwa został postawiony w stan najwyższej gotowości. Wspólnymi siłami eksperci z Google, CrowdStrike oraz Microsoft zidentyfikowali i załatali pięć poważnych luk bezpieczeństwa typu zero-day, które były aktywnie wykorzystywane przez cyberprzestępców. Najgroźniejsza z nich pozwalała na zdalne uruchomienie złośliwego kodu (RCE) poprzez przeglądarkę internetową – i co najważniejsze – została już potwierdzona w rzeczywistych atakach.

Główna luka: MSHTML i tryb IE w Edge

Centralnym punktem zagrożenia jest podatność oznaczona jako CVE-2025-30397, dotycząca silnika MSHTML (znanego również jako Trident). Ten komponent, historycznie powiązany z Internet Explorerem, nadal funkcjonuje w trybie kompatybilności IE w nowoczesnej przeglądarce Microsoft Edge.

Atak polega na przygotowaniu specjalnie spreparowanej strony internetowej lub pliku (np. skrótu .url), który po otwarciu przez ofiarę inicjuje złośliwe działania w systemie. Cały proces może zostać zainicjowany przez zwykłe kliknięcie, często przy użyciu technik phishingowych, co czyni go bardzo niebezpiecznym.

Użytkownicy, którzy mają aktywną funkcję ponownego ładowania stron w trybie Internet Explorera, są szczególnie narażeni. W efekcie atakujący może wykonać dowolny kod na komputerze ofiary, a to z kolei otwiera drogę do kradzieży danych, zainstalowania oprogramowania szpiegującego lub zaszyfrowania plików przy użyciu ransomware.

Analiza pozostałych luk wykrytych w maju 2025

CVE-2025-32701 i CVE-2025-32706 – luki w CLFS

Dwie poważne podatności zostały odkryte w systemie plików CLFS (Common Log File System). Błędy typu use-after-free i niewłaściwa walidacja danych umożliwiały lokalną eskalację uprawnień do poziomu SYSTEM. Tego rodzaju dostęp jest często wykorzystywany przez złośliwe oprogramowanie do obejścia ograniczeń bezpieczeństwa.

  • Wynik CVSS: 7.8
  • Skutki: Eskalacja przywilejów, szczególnie groźna przy połączeniu z phishingiem.

CVE-2025-30400 – podatność w DWM Core Library

Kolejna luka znajduje się w komponencie zarządzającym graficznym interfejsem użytkownika – Desktop Window Manager (DWM). Błąd typu use-after-free umożliwia lokalnemu użytkownikowi podniesienie uprawnień.

  • Wynik CVSS: 7.8
  • Skutki: Uzyskanie praw SYSTEM lokalnie, co może ułatwić dalsze ataki.

CVE-2025-29824 – atak na proces winlogon.exe

Ta podatność została zauważona już w kwietniu, ale dopiero teraz została oficjalnie sklasyfikowana. Umożliwia złośliwą iniekcję kodu do procesu winlogon.exe, co jest często wykorzystywane w tzw. LSASS dumping – czyli kradzieży poświadczeń użytkownika. Luka była również wykorzystywana w atakach ransomware.

  • Wynik CVSS: 7.8
  • Skutki: Kradzież danych logowania i szyfrowanie plików.

CVE-2025-21298 – zero-click atak przez e-mail

Chociaż ta podatność została załatana już w lutym 2025 roku, warto o niej wspomnieć. Luka w bibliotece ole32.dll umożliwiała zdalne wykonanie kodu przez zwykły podgląd wiadomości e-mail w Outlooku – bez konieczności klikania przez użytkownika. Tego typu "zero-click" ataki są szczególnie niebezpieczne, ponieważ nie wymagają interakcji.

  • Wynik CVSS: 9.8
  • Skutki: Zdalne przejęcie systemu bez jakiejkolwiek reakcji użytkownika.

##

Szerszy kontekst i rekomendacje

Według dostępnych danych, niektóre z tych luk były wykorzystywane już od 2023 roku. Ich skuteczność wynika nie tylko z błędów w samym systemie Windows, Ale także z wykorzystania technik socjotechnicznych. Najgroźniejsze scenariusze zakładają podszywanie się pod zaufane źródła i przekonywanie ofiar do otwarcia spreparowanego pliku.

Microsoft opublikował już niezbędne poprawki w ramach comiesięcznych aktualizacji zabezpieczeń. Eksperci ds. bezpieczeństwa zdecydowanie zalecają ich natychmiastowe wdrożenie. Oprócz aktualizacji systemu i przeglądarek, warto również:

  • Wyłączyć tryb Internet Explorer w Microsoft Edge, jeśli nie jest wymagany,
  • Ograniczyć możliwość otwierania plików z nieznanych źródeł,
  • Zastosować dodatkowe filtry antyphishingowe i sandboxing w programach pocztowych,
  • Monitorować działania użytkowników oraz procesy systemowe za pomocą EDR/XDR.

Podsumowanie

Maj 2025 pokazał, jak szybko mogą zostać ujawnione i wykorzystane luki typu zero-day – i jak poważne konsekwencje mogą z tego wynikać. Choć Microsoft i partnerzy zareagowali sprawnie, to właśnie użytkownicy i administratorzy odgrywają kluczową rolę w zabezpieczeniu środowisk IT. Regularne aktualizacje, ostrożność i świadomość zagrożeń to dzisiaj nie luksus, a konieczność.

WordPress import
Wroc do bloga