У Windows виявили «дірку», яку не можуть закрити вже сім місяців
Час читання: 2 хв.
Хакерські угруповання активно експлуатують дві небезпечні вразливості у Windows, проводячи масштабні шкідливі кампанії. Йдеться про “уразливість нульового дня”, відому зловмисникам ще з 2017 року, а також про іншу помилку безпеки, яку Microsoft намагалася виправити у нещодавньому оновленні – однак зробити це з першого разу не вдалося.
Вразливість нульового дня ZDI-CAN-25373 залишалася непоміченою до березня цього року. Її виявили фахівці компанії Trend Micro, які встановили, що цією вразливістю користувалися члени 11 хакерських угруповань, частина з яких має зв’язки з урядами різних країн. За їхніми даними, хакери застосовували цю “дірку” для поширення шкідливого програмного забезпечення під час атак на інфраструктурні об’єкти майже у 60 країнах світу. Найбільше постраждали США, Канада, Росія та Південна Корея.
Минуло сім місяців, але Microsoft так і не усунула проблему, пов’язану з файлами-ярликами формату .lnk. Зловмисники можуть створювати ярлики, які виглядають цілком безпечно, але під час відкриття запускають шкідливий код. Особливість цієї вразливості полягає в тому, що вона дозволяє приховати команди, які виконуються при активації ярлика, роблячи атаку майже непомітною. Нещодавно ідентифікатор ZDI-CAN-25373 було змінено на CVE-2025-9491.
Цього тижня компанія Arctic Wolf повідомила про масштабну кампанію, у рамках якої китайське угруповання UNC-6384 використовувало цю вразливість для атак у країнах Європи. Кінцева мета кіберзлочинців – поширення трояна PlugX, який дає змогу отримати повний контроль над зараженими пристроями. Для маскування шкідливе ПЗ зберігається у зашифрованому вигляді аж до фінального етапу атаки.
“Широкий масштаб атак у кількох європейських країнах за короткий проміжок часу може свідчити або про централізовану операцію зі збору розвідданих, або про одночасну діяльність кількох оперативних груп, які використовують спільні інструменти, але мають різні цілі”, – зазначили в Arctic Wolf.
Оскільки офіційного патчу для CVE-2025-9491 досі не існує, користувачі мають обмежені можливості для захисту. Найефективніший спосіб – заблокувати використання ярликів .lnk із ненадійних джерел, відключивши автоматичне відкриття таких файлів у “Провіднику”. Рівень небезпеки цієї вразливості оцінюється у 7 балів із 10.
Друга вразливість, яку також активно використовують хакери, має позначення CVE-2025-59287. Її Microsoft виправила лише минулого тижня за допомогою позапланового оновлення. Вона зачіпає служби оновлень Windows Server Update Services (WSUS), які адміністратори застосовують для встановлення, виправлення та видалення програм на серверах. Її критичність оцінена у 9,8 бала з 10.
У жовтневому пакеті безпеки Microsoft уже намагалася усунути цю проблему, що дозволяла зловмисникам виконувати віддалений код на пристрої жертви. Проте тестування показало, що перше оновлення не повністю закрило вразливість, і компанії довелося випустити додатковий патч.
Фахівці компанії Huntress, що працює у сфері кібербезпеки, зафіксували атаки з використанням CVE-2025-59287 до 23 жовтня – приблизно в той самий період, коли Microsoft випустила повторне оновлення. Інша компанія, Sophos, також повідомила про нові випадки атак на своїх клієнтів 24 жовтня.
Запис У Windows виявили «дірку», яку не можуть закрити вже сім місяців спершу з’явиться на iTechua – Новини про смартфони, гаджети і різні девайси.
