A Windows operációs rendszer két súlyos sebezhetősége került a biztonsági szakértők figyelmének középpontjába, amelyek közül az egyik egy zero-day hiba, amelyet a támadók már 2017 óta kihasználnak, míg a másik egy kritikus sérülékenység, amelyet a Microsoft nemrégiben sikertelenül próbált megjavítani. Ezek a hibák jelenleg is aktív kihasználás alatt állnak, és széles körű internetes támadássorozatokat eredményeznek – állítják a kutatók.
A 2017 óta ismert zero-day sebezhetőség
A zero-day sérülékenység egészen márciusig rejtve maradt a biztonsági közösség előtt. Ekkor a Trend Micro biztonsági cég jelentette be, hogy az exploitáció már 2017 óta zajlik, és akár 11 különálló, fejlett állandó fenyegetés (APT) csoport is használja azt. Ezek az APT-k gyakran államokhoz kötődő szervezetek, amelyek kitartóan céloznak meg bizonyos személyeket vagy csoportokat.
A Trend Micro szerint az érintett csoportok a ZDI-CAN-25373 azonosítóval nyilvántartott sebezhetőséget kihasználva különféle ismert utólagos exploit payloadokat telepítenek olyan infrastruktúrákra, amelyek közel 60 országban találhatók meg. A leggyakoribb célpontok között az Egyesült Államok, Kanada, Oroszország és Dél-Korea szerepelnek.
A Windows Shortcut bináris formátum hibája és annak következményei
A sebezhetőség forrása egy hiba a Windows Shortcut bináris formátumban rejlik. Ez a Windows komponens megkönnyíti az alkalmazások megnyitását vagy fájlok elérését azáltal, hogy egyetlen bináris fájl segítségével indíthatók el anélkül, hogy manuálisan kellene navigálni azok helyére. Ez a funkció azonban most komoly biztonsági kockázatot jelent.
Az elmúlt hónapokban a ZDI-CAN-25373 nyilvántartási jelölést frissítették CVE-2025-9491-re. Ennek ellenére hét hónappal később a Microsoft még mindig nem adott ki javítást erre a kritikus hibára.
Aktív kihasználás Európában: kínai fenyegetéscsoport és PlugX trojan
A közelmúltban az Arctic Wolf biztonsági cég arról számolt be, hogy egy Kínához kötődő fenyegetéscsoport, az UNC-6384, aktívan kihasználja a CVE-2025-9491-es sebezhetőséget különböző európai országok elleni támadások során. A végső payload egy széles körben használt távoli hozzáférést biztosító trójai program, a PlugX.
A malware rejtett működésének biztosítása érdekében az exploit RC4 titkosítási formátumban tartja titkosítva a bináris fájlt egészen az utolsó lépésig. Ez jelentősen megnehezíti a rosszindulatú kód felfedezését és elemzését.
Nagy volumenű koordinált művelet vagy párhuzamos csapatok együttműködése?
Az Arctic Wolf elemzése szerint:
- A több európai országot érintő rövid időn belüli célzás arra utalhat, hogy egy nagyszabású, koordinált hírszerzési gyűjtési műveletről van szó.
- Esetleg több párhuzamosan működő operatív csapat is részt vesz a támadássorozatban, amelyek ugyanazokat az eszközöket használják, de eltérő célpontokat céloznak meg.
- A különböző célpontokon tapasztalt egységes módszertan és kivitelezési színvonal arra utal, hogy központilag fejlesztett eszközöket és szigorú operatív biztonsági szabványokat alkalmaznak.
- Mindezek ellenére maga a végrehajtás több csapat között oszlik meg.
Következtetések és ajánlások
Ezek az események rávilágítanak arra, hogy még napjainkban is milyen súlyos fenyegetést jelentenek a zero-day sebezhetőségek és azok kihasználása. A Microsoft lassú reagálása pedig tovább növeli a kockázatot világszerte.
Minden Windows felhasználónak és szervezetnek ajánlott:
- Folyamatosan figyelni a hivatalos biztonsági frissítéseket és amint elérhetővé válik javítás a CVE-2025-9491-re, azt haladéktalanul telepíteni.
- Erősíteni az endpoint védelem szintjét korszerű antivírus és behatolásészlelő rendszerekkel.
- Kiemelt figyelmet fordítani az ismeretlen vagy gyanús shortcut fájlokra és linkekre.
- Képzéseket tartani munkavállalók számára a célzott támadások felismeréséről és megelőzéséről.
Ezzel együtt fontos tudatosítani, hogy az informatikai biztonság nem csak technológiai kérdés, hanem folyamatos éberséget és proaktív hozzáállást igényel minden érintett részéről.