Microsoft rozkłada ręce. Nie potrafi załatać Windowsa, my cierpimy
Dwa poważne zagrożenia - jedno obecne w systemie od ponad siedmiu lat, drugie odkryte niedawno - są aktywnie wykorzystywane przez cyberprzestępców na całym świecie.
Sytuacja jest poważna. System operacyjny, który dominuje na rynku z udziałem sięgającym 70 proc. zmaga się z kryzysem, który wymaga natychmiastowej reakcji ze strony użytkowników i administratorów IT. Niestety, nie wszystko da się załatać od ręki - jedna z luk czeka na załatanie od niemal ośmiu lat, a tempo działania Microsoftu pozostawia wiele do życzenia.
Skróty, które prowadzą do katastrofy: CVE-2025-9491 bez poprawki
Najbardziej niepokojąca jest luka oznaczona jako CVE-2025-9491, wykorzystywana przez hakerów już od 2017 r. - zanim została ujawniona publicznie w marcu bieżącego roku.
Czytaj też:
Zagrożenie zostało zidentyfikowane przez firmę Trend Micro, która ustaliła, że co najmniej 11 zaawansowanych grup hakerskich powiązanych z władzami różnych krajów wykorzystywało tę lukę do wdrażania narzędzi szpiegowskich i trojanów. Ataki dotknęły instytucje w ponad 60 krajach, ze szczególnym nasileniem w Stanach Zjednoczonych, Kanadzie, Rosji i Korei Południowej.
Luka znajduje się w mechanizmie obsługi plików skrótów (.lnk) w systemie Windows - tych małych ikon, które pozwalają szybko uruchamiać aplikacje. Mimo upływu siedmiu miesięcy od ujawnienia Microsoft wciąż nie opublikował poprawki. Tymczasem grupa UNC-6384 z Chin aktywnie wykorzystuje tę lukę w atakach na europejskie placówki dyplomatyczne, m.in. na Węgrzech i w Belgii.
Mechanizm ataku polega na spreparowaniu pliku .lnk, który po otwarciu umożliwia wykonanie dowolnego kodu z uprawnieniami aktualnie zalogowanego użytkownika. To szczególnie groźne dla osób pracujących z poufnymi danymi.
Aktualizacja, która zawiodła: CVE-2025-59287 i WSUS
Druga luka, CVE-2025-59287, dotyczy systemu Windows Server Update Services (WSUS), odpowiedzialnego za dystrybucję aktualizacji w sieciach korporacyjnych. Microsoft co prawda wydał poprawkę w październiku, ale okazała się ona nieskuteczna.
Narzędzie mające chronić systemy, stało się wektorem ataku. Luka umożliwia zdalne wykonanie kodu (RCE) bez uwierzytelnienia, co oznacza, że cyberprzestępca może przejąć kontrolę nad serwerem WSUS i zainstalować złośliwe aktualizacje na wszystkich komputerach w sieci. Ocena CVSS 9.8 mówi sama za siebie - to niemal maksymalny poziom zagrożenia.
Microsoft opublikował awaryjną poprawkę 23 października, ale wielu administratorów, zajętych wcześniejszymi aktualizacjami z 14 października ją przeoczyło. Tymczasem już kilka godzin po jej wydaniu firmy Sophos i Huntress odnotowały pierwsze ataki wykorzystujące tę lukę.
24 października amerykańska agencja CISA dodała CVE-2025-59287 do katalogu Known Exploited Vulnerabilities (KEV), zobowiązując instytucje federalne do zainstalowania poprawki do 14 listopada. Dla pozostałych użytkowników to jasny sygnał: zagrożenie jest realne i pilne.
Co mogą zrobić zwykli użytkownicy?
Dla użytkowników domowych sytuacja jest trudniejsza niż dla administratorów serwerów. Ci drudzy mogą szybko wdrożyć poprawki, a instytucje publiczne mają taki obowiązek. Zwykli użytkownicy muszą jednak działać ostrożnie.
W przypadku CVE-2025-59287 (WSUS): jeśli nie zarządzacie serwerem WSUS to luka was nie dotyczy bezpośrednio. Jeśli jednak prowadzicie małą firmową sieć to koniecznie zainstalujcie aktualizacje - Microsoft udostępnił konkretne numery KB dla każdej wersji Windows Server.
W przypadku CVE-2025-9491 (plik .lnk): sytuacja jest bardziej niepokojąca. Poprawki brak, a zagrożenie rośnie. Eksperci zalecają:
- Zachowujcie ostrożność przy otwieraniu plików .lnk z nieznanych źródeł
- Nie klikajcie skrótów przesłanych w e-mailach od nieznanych nadawców
- Jeśli to możliwe wyłączcie automatyczne uruchamianie skrótów .lnk
- Zaktualizujcie system do najnowszej wersji Windowsa 11 - tam ryzyko może być mniejsze
Pozostaje czekać na Microsoft aż ten naprawi swój produkt. Choć cierpliwość niektórych - nic dziwnego - może być na wyczerpaniu.
