Prima vulnerabilitate, identificată ca fiind o problemă zero-day cunoscută atacatorilor încă din 2017, şi cealaltă, o defecțiune critică pe care Microsoft a încercat inițial să o remedieze fără succes, sunt exploatate activ în atacuri extinse ce vizează o gamă largă de ținte pe Internet. Firma de securitate Trend Micro a dezvăluit în martie că aceasta a fost exploatată activ din 2017 de până la 11 grupuri separate de amenințări persistente avansate (APT). Aceste grupuri, adesea legate de state-națiune, atacă fără încetare anumite persoane sau grupuri de interes. Trend Micro a adăugat că aceste grupuri au folosit vulnerabilitatea, monitorizată inițial ca ZDI-CAN-25373, pentru a instala diverse payload-uri post-exploatare pe infrastructuri din aproape 60 de țări, cele mai vizate fiind SUA, Canada, Rusia și Coreea.
La șapte luni după descoperire, Microsoft încă nu a oferit un patch pentru această vulnerabilitate, care provine dintr-un bug în formatul binar al scurtăturilor Windows. Componenta Windows facilitează deschiderea aplicațiilor sau accesarea fișierelor mai ușor și mai rapid, permițând unui singur fișier binar să le invoce fără a naviga la locațiile lor. În ultimele luni, numărul de urmărire ZDI-CAN-25373 a fost schimbat în CVE-2025-9491.
Joi, firma de securitate Arctic Wolf a raportat că a observat un grup de amenințări aliniat Chinei, monitorizat ca UNC-6384, care exploatează CVE-2025-9491 în atacuri împotriva diverselor națiuni europene. Payload-ul final este un troian de acces la distanță larg utilizat, cunoscut sub numele de PlugX. Pentru a masca mai bine malware-ul, exploitul menține fișierul binar criptat în format RC4 până în ultima etapă a atacului.
„Amploarea țintirilor în multiple națiuni europene într-un interval de timp condensat sugerează fie o operațiune coordonată la scară largă de colectare de informații, fie desfășurarea mai multor echipe operaționale paralele cu unelte comune, dar cu țintiri independente,” a declarat Arctic Wolf. „Consistența în metodele de lucru în rândul țintelor disparate indică dezvoltarea centralizată a instrumentelor și standardele de securitate operațională, chiar dacă execuția este distribuită între mai multe echipe.”
Fără un patch disponibil, utilizatorii de Windows au la dispoziție un număr limitat de opțiuni pentru a respinge atacurile. Cea mai eficientă contramăsură este blocarea funcțiilor .lnk prin interzicerea sau restricționarea utilizării fișierelor .lnk din surse neîncredințate. Acest lucru se poate realiza prin setarea Windows Explorer pentru a dezactiva rezolvarea automată a acestor fișiere. Rata de severitate pentru CVE-2025-9491 este de 7 din 10.
Cea de-a doua vulnerabilitate Windows a fost remediată săptămâna trecută, când Microsoft a emis o actualizare nes
Poll: Care este cea mai eficientă măsură de protecție împotriva atacurilor care exploatează vulnerabilitatea CVE-2025-9491?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply