Η Microsoft έχει κυκλοφορήσει επείγουσες ενημερώσεις ασφαλείας για την αντιμετώπιση μιας ευπάθειας zero-day στο πρόγραμμα οδήγησης φίλτρου Windows Cloud Files Mini (cldflt.sys) που αυτή τη στιγμή γίνεται αντικείμενο εκμετάλλευσης στη φύση.
Με την εκχώρηση του αναγνωριστικού CVE-2025-62221, αυτή η αύξηση του ελαττώματος προνομίου επηρεάζει ένα ευρύ φάσμα λειτουργικών συστημάτων Windows, από τα Windows 10 Έκδοση 1809 έως την πιο πρόσφατη έκδοση των Windows 11 25H2 και τον Windows Server 2025.
Η ευπάθεια έχει βαθμολογηθεί ως Σημαντική με βασική βαθμολογία CVSS v3.1 7,8 και η συμβουλευτική της Microsoft επιβεβαιώνει ότι οι επιτιθέμενοι χρησιμοποιούν λειτουργικό κώδικα εκμετάλλευσης για να αποκτήσουν προνόμια SYSTEM σε μηχανήματα που έχουν παραβιαστεί.
Η ευπάθεια περιγράφεται ως αδυναμία Χρήσης-Μετά-Δωρεάν στο πρόγραμμα οδήγησης Mini Filter Files Cloud, ένα στοιχείο πυρήνα που είναι υπεύθυνο για τη διαχείριση “placeholders” και το συγχρονισμό για υπηρεσίες αποθήκευσης cloud όπως το OneDrive.
Αυτό το πρόγραμμα οδήγησης επιτρέπει στο λειτουργικό σύστημα να αντιμετωπίζει τα αρχεία που είναι αποθηκευμένα στο cloud ως τοπικές καταχωρίσεις χωρίς να κατεβάζει το πλήρες περιεχόμενό τους, ενυδατώνοντάς τα μόνο κατά την πρόσβαση.
Το ελάττωμα επιτρέπει σε έναν εισβολέα χαμηλών προνομίων με τοπικό έλεγχο ταυτότητας να ενεργοποιήσει μια κατάσταση καταστροφής μνήμης, επιτρέποντάς του στη συνέχεια να εκτελέσει αυθαίρετο κώδικα με τα υψηλότερα δικαιώματα συστήματος.
Microsoft Threat Intelligence Center (MSTIC) και το Microsoft Security Response Center (MSRC) αναγνώρισαν την ανακάλυψησημειώνοντας ότι ενώ η πολυπλοκότητα της επίθεσης είναι χαμηλή και δεν απαιτεί αλληλεπίδραση με τον χρήστη, ο εισβολέας πρέπει να έχει δημιουργήσει τοπική πρόσβαση στο μηχάνημα-στόχο.
Σε αντίθεση με τα ελαττώματα της απομακρυσμένης εκτέλεσης κώδικα, αυτή η ευπάθεια πιθανότατα χρησιμοποιείται ως δευτερεύον στάδιο σε αλυσίδες επιθέσεων, όπου οι αντίπαλοι έχουν ήδη αποκτήσει βάση και επιδιώκουν να κλιμακώσουν τα προνόμιά τους για διατήρηση ή απενεργοποίηση των ελέγχων ασφαλείας.
Επηρεαζόμενες εκδόσεις και ενημερώσεις ασφαλείας
Ο παρακάτω πίνακας περιγράφει τις επηρεαζόμενες εκδόσεις των Windows και τα αντίστοιχα άρθρα της Γνωσιακής Βάσης (KB) που κυκλοφόρησαν στις 9 Δεκεμβρίου 2025. Οι διαχειριστές θα πρέπει να δώσουν προτεραιότητα στην άμεση επιδιόρθωση αυτών των συστημάτων, δεδομένης της επιβεβαιωμένης κατάστασης ενεργής εκμετάλλευσης.
| Οικογένεια προϊόντων | Έκδοση / Έκδοση | Άρθρο KB (Ενημέρωση ασφαλείας) | Αριθμός κατασκευής |
|---|---|---|---|
| Windows 11 & Server 2025 | Έκδοση 25H2 (x64/ARM64) | KB5072033 / KB5072014 | 10.0.26200.7462 |
| Έκδοση 24H2 (x64/ARM64) | KB5072033 / KB5072014 | 10.0.26100.7462 | |
| Έκδοση 23H2 (x64/ARM64) | KB5071417 | 10.0.22631.6345 | |
| Διακομιστής 2025 (Πυρήνας) | KB5072033 | 10.0.26100.7462 | |
| Windows 10 | Έκδοση 22H2 (x64/ARM64/32-bit) | KB5071546 | 10.0.19045.6691 |
| Έκδοση 21H2 (x64/ARM64/32-bit) | KB5071546 | 10.0.19044.6691 | |
| Έκδοση 1809 (x64/32-bit) | KB5071544 | 10.0.17763.8146 | |
| Windows Server | Διακομιστής 2022 (Τυπικός & Βασικός) | KB5071547 / KB5071413 | 10.0.20348.4529 |
| Διακομιστής 2022, Έκδοση 23H2 | KB5071542 | 10.0.25398.2025 | |
| Διακομιστής 2019 (Τυπικός & Βασικός) | KB5071544 | 10.0.17763.8146 |
Αυτή η ευπάθεια zero-day παρουσιάζει σημαντικό κίνδυνο για τους οργανισμούς που βασίζονται στην υποδομή των Windows, ιδιαίτερα δεδομένης της επιβεβαιωμένης εκμετάλλευσης στη φύση.
Το επίπεδο αποκατάστασης “Επίσημη επιδιόρθωση” υποδεικνύει ότι οι τυπικές ενημερώσεις ασφαλείας επαρκούν για την επίλυση του ζητήματος και ότι δεν έχουν δημοσιευθεί προσωρινές λύσεις.
Οι ομάδες ασφαλείας θα πρέπει να επαληθεύουν ότι οι συγκεκριμένοι αριθμοί έκδοσης που αναφέρονται παραπάνω αντικατοπτρίζονται στα τελικά σημεία τους μετά την ανάπτυξη της ενημέρωσης για να διασφαλίσουν την επιτυχή άμβλυνση.
Η απουσία απαιτούμενης αλληλεπίδρασης με τον χρήστη το καθιστά ελκυστικό φορέα για αυτοματοποιημένο κακόβουλο λογισμικό και προηγμένες επίμονες απειλές (APT) που λειτουργούν σε ένα δίκτυο.
