Zaktualizuj Windowsa. Wydano marcowe poprawki

Kolejny raz od wielu miesięcy, poważne dziury znajdują się w usługach RRAS i TAPI czyli mechanizmach routingu i dostępu zdalnego oraz obsługi telefonii. Obie podatności - zarówno CVE-2025-24056 dotyczące telefonii, jak i CVE-2025-24051 dotyczące zdalnego dostępu, polegają na odwróconym ataku. Wymagają połączenia ze złośliwym serwerem, który wtedy - zamiast wysłania informacji o usłudze - wyśle zniekształcony komunikat umożliwiający zdalne wykonanie kodu na kliencie.

Mechanizmy TAPI i RRAS w celu działania wykorzystują wbudowane usługi systemowe i aby Windows był podatny na wyżej wspomniane błędy, usługi te muszą pracować. Chodzi konkretnie o "Routing i dostęp zdalny" (RemoteAccess) oraz "Telefonię" (TapiSrv). W bardzo wielu instalacjach Windowsa usługi te istotnie będą wyłączone lub nieaktywne. O tym, jak sprawdzić stan usług pisaliśmy poprzednim razem - ponieważ Telefonia jest źródłem złych wiadomości już któryś raz z rzędu.

Dalsza część artykułu pod materiałem wideo

Kolejne podatności dotyczą usług pulpitu zdalnego (RDP/TSC), ale tylko jedna - CVE-2025-26645 - dotyczy klienta. Pozostałe podatności dotyczą wyłącznie serwerów, bo kliencie wersje Windows nie oferują wieloużytkownikowego dostępu przez pulpit zdalny. Podobnie jak w przypadku Telefonii, scenariusz ataku jest odwrócony.

Konieczne jest połączenie ze złośliwym serwerem, który wyśle do klienta komunikat prowadzący do zdalnego wykonania kodu. Jeżeli nie korzystamy ze zdalnego pulpitu, problem nas nie dotyczy. Podobnie, jak CVE-2025-24035 i CVE-2025-24045. W ich przypadku, za pomocą skomplikowanego ataku wrażliwego na czas, możliwe jest zdalne wykonanie kodu na serwerze zdalnego pulpitu. Nie jest potrzebne skuteczne zalogowanie.

Inną dziurą niewymagającą uwierzytelniania, ale wrażliwą na czas (a więc trudną do wykorzystania), jest CVE-2025-24064 zidentyfikowane w serwerze DNS. Wykorzystanie dziury wymaga dokładnego "wstrzelenia się" w krótkie okienko czasowe, niemniej w przypadku sukcesu możliwe jest zdalne wykonanie kodu na serwerze. Problem w DNS wydaje się być bardzo stary i obecny w systemie do najmniej od siedemnastu lat, wydano bowiem aktualizację dla Windows Server 2008.

Ostatnią krytyczną dziurą w Windows jest podatność w jądrze WSL2, którym jest zwirtualizowany Linux. Problem znajduje się tylko w Windows 11 oraz nowszych i niestety jest kolejnym przykładem przeceny zagrożenia.

Możliwy atak zaklasyfikowano jako zdalny, choć (skromne) detale techniczne opisują atak jako lokalny. Wytłumaczeniem ponownie jest fakt, że złośliwy kod może przyjść mailem. Na tej zasadzie wszystkie ataki są zdalne. Postawa Microsoftu w kwestii oceny zagrożenia, od lat obarczona tym samym błędem, jest niezrozumiała.

Poza wyżej wymienionymi atakami sieciowymi (gdzie WSL2 jest naciągany), marcowe poprawki łatają dziesiątki dziur pozwalających na lokalne podniesienie uprawnień przez złośliwe oprogramowanie. Rozmiar aktualizacji stale rośnie. W porównaniu z zeszłym miesiącem, poprawka dla najnowszego Windows 11 (24H2) i Windows Server 2025 urosła o 50 MB i waży już 1,16 gigabajta! Wciąż nie przebiło to jednak największej paczki - aktualizacji do Windows Server 2016, o rozmiarze 1,7 GB.