Η Microsoft κυκλοφόρησε το Οκτώβριος 2025 Patch Tuesday ενημέρωση ασφαλείας, μια έκδοση μεγέθους ρεκόρ που αντιμετωπίζει 175 τρωτά σημεία. Η ενημέρωση περιλαμβάνει δύο ελαττώματα μηδενικής ημέρας που χρησιμοποιήθηκαν ενεργά και υποδηλώνει επίσης το τέλος της τακτικής υποστήριξης ασφαλείας για το λειτουργικό σύστημα Windows 10.
Ο όγκος των 175 κοινών ευπαθειών και εκθέσεων (CVE) καθιερώνει αυτήν την έκδοση ως τη μεγαλύτερη ενημερωμένη ενημέρωση Patch Tuesday που τεκμηριώθηκε από ερευνητές ασφαλείας τα τελευταία χρόνια. Η κυκλοφορία αυτού του μήνα ανέβασε τον συνολικό αριθμό των μοναδικών ευπαθειών που επιδιορθώθηκαν από την εταιρεία το 2025 σε 1.021. Αυτός ο αριθμός ξεπερνά το σύνολο του προηγούμενου έτους των 1.009 διορθωμένων CVE. Ο Satnam Narang, ανώτερος μηχανικός έρευνας προσωπικού στην Tenable, δήλωσε: «Με δύο μήνες να απομένουν φέτος, έχουμε ήδη ανατινάξει τον περσινό απολογισμό των 1.009 επιδιορθωμένων CVE, καθώς η κυκλοφορία αυτού του μήνα μας ανεβάζει τα 1.021».
Ο Narang διευκρίνισε ότι αυτή η ενημέρωση είναι η μεγαλύτερη από τότε που η Tenable άρχισε να παρακολουθεί τις εκδόσεις ενημερώσεων κώδικα της Microsoft το 2017. Διευκρίνισε επίσης ότι αυτός ο αριθμός δεν περιλαμβάνει ενημερώσεις κώδικα εκτός κύκλου που εκδόθηκαν πριν από την κύρια ενημέρωση ή ευπάθειες για τις οποίες η Microsoft δεν είναι ο καθορισμένος εκδότης. Η συλλογή ελαττωμάτων αντιμετώπισε ένα ευρύ φάσμα ζητημάτων ασφάλειας, συμπεριλαμβανομένων ευπαθειών απομακρυσμένης εκτέλεσης κώδικα (RCE), ελαττωμάτων ανύψωσης προνομίων (EoP), διανυσμάτων κλοπής δεδομένων, μεθόδων επίθεσης άρνησης υπηρεσίας (DoS) και παρακάμψεων υφιστάμενων χαρακτηριστικών ασφαλείας σε πολλά προϊόντα της Microsoft.
Μεταξύ των τρωτών σημείων, δύο ελαττώματα zero-day είναι υπό ενεργή εκμετάλλευση από τους εισβολείς. Το πρώτο, που προσδιορίζεται ως CVE-2025-59230, είναι μια ευπάθεια κλιμάκωσης προνομίων στη Διαχείριση σύνδεσης απομακρυσμένης πρόσβασης των Windows και φέρει βαθμολογία κοινού συστήματος βαθμολόγησης ευπάθειας (CVSS) 7,8. Αυτό το ελάττωμα επιτρέπει σε έναν εισβολέα που έχει ήδη αποκτήσει αρχική πρόσβαση σε ένα σύστημα με χαμηλά προνόμια να ανυψώσει την κατάστασή του σε αυτήν του διαχειριστή. Ο Mike Walters, πρόεδρος και συνιδρυτής του Action1, παρείχε ανάλυση για τον μηχανισμό της ευπάθειας. Εκτίμησε ότι το ελάττωμα σχετίζεται με τον τρόπο με τον οποίο η υπηρεσία, η οποία διαχειρίζεται το εικονικό ιδιωτικό δίκτυο (VPN) και άλλες απομακρυσμένες συνδέσεις, επεξεργάζεται εντολές από χρήστες χαμηλών προνομίων χωρίς επαρκή έλεγχο ταυτότητας. «Η εκμετάλλευση αυτής της ευπάθειας είναι σχετικά εύκολη, καθιστώντας την προσβάσιμη ακόμη και σε επιτιθέμενους με μέτριες τεχνικές δεξιότητες», σχολίασε ο Walters.
Το δεύτερο ενεργά αξιοποιημένο zero-day, το CVE-2025-24990, είναι επίσης μια ανύψωση ευπάθειας προνομίων με βαθμολογία CVSS 7,8. Αυτό το ελάττωμα βρίσκεται σε ένα πρόγραμμα οδήγησης τρίτου κατασκευαστή για το μόντεμ Windows Agere. Αυτό το συγκεκριμένο πρόγραμμα οδήγησης περιλαμβάνεται εγγενώς σε όλες τις υποστηριζόμενες εκδόσεις του λειτουργικού συστήματος Windows, κάνοντας την παρουσία του ευρέως διαδεδομένη. Ένας εισβολέας μπορεί να αξιοποιήσει αυτήν την ευπάθεια για να αποκτήσει προνόμια σε επίπεδο συστήματος σε έναν υπολογιστή που επηρεάζεται. Το ελάττωμα είναι εκμεταλλεύσιμο ακόμη και αν το υλικό του μόντεμ Agere δεν χρησιμοποιείται ενεργά τη στιγμή της επίθεσης. Σε απάντηση, η Microsoft έχει αφαιρέσει το πρόγραμμα οδήγησης από το λειτουργικό σύστημα μέσω της ενημέρωσης. Αυτή η ενέργεια σημαίνει ότι τα μόντεμ Agere που εξαρτώνται από αυτό το πρόγραμμα οδήγησης θα πάψουν να λειτουργούν σε ενημερωμένα συστήματα Windows. Στη συμβουλή της για το θέμα, η Microsoft εξέδωσε μια άμεση σύσταση, δηλώνοντας ότι οι χρήστες θα πρέπει να “καταργήσουν τυχόν υπάρχουσες εξαρτήσεις από αυτό το υλικό”.
Η ενημέρωση περιέχει επίσης άλλα ζητήματα υψηλής προτεραιότητας που συνιστώνται να αντιμετωπίσουν οι ομάδες ασφαλείας. Ένα τέτοιο θέμα ευπάθειας είναι το CVE-2025-59287, ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα στην υπηρεσία Windows Server Update Service (WSUS) με βαθμολογία CVSS 9,8. Το WSUS είναι το στοιχείο που χρησιμοποιούν οι οργανισμοί για να διαχειρίζονται κεντρικά και να διανέμουν ενημερώσεις λογισμικού και ενημερώσεις κώδικα σε υπολογιστές στα δίκτυά τους. Ο Walters of Action1 το προσδιόρισε ως κρίσιμο ζήτημα, εξηγώντας ότι μια επιτυχημένη εκμετάλλευση θα μπορούσε να οδηγήσει σε σοβαρές συνέπειες. Αυτά τα πιθανά αποτελέσματα περιλαμβάνουν «τον πλήρη συμβιβασμό της υποδομής επιδιόρθωσης, την ανάπτυξη κακόβουλων «ενημέρωσης» σε διαχειριζόμενα συστήματα, την πλευρική κίνηση σε όλο το περιβάλλον και τη δημιουργία επίμονων κερκόπορτων στην υποδομή ενημέρωσης», είπε. Η Microsoft έχει κατηγοριοποιήσει επίσημα το CVE-2025-59287 ως ευπάθεια που είναι πιο πιθανό να εκμεταλλευτούν οι εισβολείς.
Ένα άλλο σοβαρό ελάττωμα που αντιμετωπίστηκε είναι το CVE-2025-55315, μια παράκαμψη λειτουργιών ασφαλείας στο πλαίσιο ASP.NET Core, το οποίο έλαβε βαθμολογία CVSS 9,9. Σύμφωνα με την αξιολόγηση της Microsoft, αυτή η ευπάθεια θα μπορούσε να έχει μεγάλο αντίκτυπο στην εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα ενός συστήματος. Μια επιτυχημένη εκμετάλλευση θα παρείχε σε έναν εισβολέα τη δυνατότητα να προβάλει τα διαπιστευτήρια χρήστη, να αλλάξει τα περιεχόμενα των αρχείων στον διακομιστή προορισμού ή να προκαλέσει κατάρρευση συστήματος. Ο Ben McCarthy, επικεφαλής μηχανικός ασφάλειας στον κυβερνοχώρο στο Immersive, παρείχε πρόσθετο πλαίσιο για τις συνθήκες εκμετάλλευσης. «Είναι σημαντικό να σημειωθεί ότι αυτή η ευπάθεια δεν είναι εκμεταλλεύσιμη από έναν ανώνυμο εισβολέα· απαιτεί από τον παράγοντα απειλής να πιστοποιηθεί πρώτα η ταυτότητα με έγκυρα διαπιστευτήρια χρήστη χαμηλών προνομίων», δήλωσε ο McCarthy στο σχόλιό του για την κυκλοφορία της ενημέρωσης κώδικα.
Αυτός ο κύκλος ενημέρωσης Οκτωβρίου σηματοδοτεί και επίσημα το τέλος της ζωής του λειτουργικού συστήματος Windows 10. Αυτό σημαίνει ότι η Microsoft δεν θα παρέχει πλέον τακτικές ενημερώσεις κώδικα ασφαλείας για τις ευπάθειες που ανακαλύπτονται στο λειτουργικό σύστημα ως μέρος του μηνιαίου προγράμματος Patch Tuesday. Η διακοπή της υποστήριξης επηρεάζει μια σημαντική βάση χρηστών, καθώς το λειτουργικό σύστημα Windows 10 κατέχει επί του παρόντος περίπου το 41% της αγοράς εκδόσεων Windows για υπολογιστές παγκοσμίως.
Για οργανισμούς που συνεχίζουν να λειτουργούν συστήματα με Windows 10, απαιτείται μια συγκεκριμένη διαδρομή για συνεχή υποστήριξη. Ο Nick Carroll, υπεύθυνος αντιμετώπισης περιστατικών στον κυβερνοχώρο της Nightwing, εξήγησε σε μια δήλωση ότι αυτές οι οντότητες θα πρέπει να εγγραφούν στο πρόγραμμα Extended Security Updates (ESU) για να λαμβάνουν ενημερώσεις κώδικα ασφαλείας πέρα από αυτήν την τελική ενημέρωση. Το πρόγραμμα ESU είναι μια υπηρεσία επί πληρωμή που παρέχει επιδιορθώσεις ασφαλείας για περιορισμένο χρονικό διάστημα μετά την επίσημη ημερομηνία λήξης της υποστήριξης ενός προϊόντος.
Το τέλος της υποστήριξης δεν περιορίστηκε στα Windows 10. Αρκετά άλλα προϊόντα της Microsoft έφτασαν επίσης στο ορόσημο στο τέλος της ζωής τους αυτήν την εβδομάδα. Αυτή η λίστα περιλαμβάνει Exchange Server 2016, Exchange Server 2019, Skype for Business 2016, Windows 11 IoT Enterprise Version 22H2 και Outlook 2016. Επίσης, αυτά τα προϊόντα δεν θα λαμβάνουν πλέον τακτικές ενημερώσεις ασφαλείας. Ο Carroll σχολίασε τις ευρύτερες επιπτώσεις αυτού του σταδίου του κύκλου ζωής για πολλά προϊόντα. «Όλα αυτά τα προϊόντα και άλλα θα πάψουν να λαμβάνουν ενημερώσεις κώδικα ασφαλείας», είπε, «αλλά αυτό δεν σημαίνει ότι οι φορείς της απειλής θα σταματήσουν να κάνουν νέα εκμετάλλευση για αυτούς».
VIA: DataConomy.com
