Dzień Microsoft oficjalnie zakończył wsparcie dla systemu Windows 10 zbiegło się z aktualizacją z wtorku, zawierającą kilka luk dnia zerowego, które napastnicy mogliby wykorzystać do obrania za cel starszego systemu operacyjnego Windows.
Wśród nich jest CVE-2025-24990, który obejmuje: starszy sterownik urządzenia które Microsoft całkowicie usunął z systemu Windows. „Aktywne wykorzystanie CVE-2025-24990 w sterowniku modemu Agere (ltmdm64.sys) pokazuje ryzyko bezpieczeństwa związane z utrzymywaniem starszych komponentów w nowoczesnych systemach operacyjnych” – ostrzegł Ben McCarthy, główny inżynier ds. bezpieczeństwa cybernetycznego w Immersive.
„Ten sterownik, obsługujący sprzęt z końca lat 90. i początku XXI wieku, jest starszy niż obecne praktyki bezpiecznego programowania i pozostaje w dużej mierze niezmieniony od lat” – powiedział. „Sterowniki trybu jądra działają z najwyższymi uprawnieniami systemowymi, co czyni je głównym celem atakujących chcących zwiększyć swój dostęp”.
McCarthy powiedział, że ugrupowania zagrażające wykorzystują tę lukę jako drugi etap swoich działań. „Łańcuch ataków zwykle rozpoczyna się od zdobycia przez aktora początkowego punktu oparcia w systemie docelowym za pomocą typowych metod, takich jak kampania phishingowa, kradzież danych uwierzytelniających lub wykorzystanie innej luki w aplikacji dostępnej publicznie” – powiedział.
McCarthy dodał, że decyzja Microsoftu o całkowitym usunięciu sterownika zamiast wydania łatki jest bezpośrednią reakcją na ryzyko związane z modyfikowaniem nieobsługiwanego, starszego kodu innych firm. „Próby załatania takiego komponentu mogą być zawodne i potencjalnie spowodować niestabilność systemu lub nie wyeliminować całkowicie pierwotnej przyczyny luki” – stwierdził.
Usuwając sterownik z systemu operacyjnego Windows, McCarthy powiedział, że Microsoft nadał priorytet ograniczeniu powierzchni ataku, a nie całkowitej kompatybilności wstecznej. „Po usunięciu podatnego i przestarzałego komponentu potencjał tego konkretnego exploita wynosi zero” – stwierdził. „Stwierdzono, że zagrożenie bezpieczeństwa stwarzane przez sterownik jest większe niż wymóg dalszej obsługi przestarzałego sprzętu, który obsługuje”.
McCarthy powiedział, że takie podejście pokazuje, że skuteczna strategia bezpieczeństwa musi obejmować zarządzanie cyklem życia starego kodu, którego usunięcie jest często bardziej ostateczne i bezpieczne niż łatanie.
Kolejna łatana luka zero-day dotyczy modułu Trusted Platform Module od Trusted Computing Group (TCG). Adam Barnett, główny inżynier oprogramowania w firmie Rapid7, zauważył, że usterka CVE-2025-2884 dotyczy referencyjnej implementacji modułu TPM 2.0, która w normalnych okolicznościach prawdopodobnie zostanie odtworzona w dalszej implementacji przez każdego producenta.
„Microsoft traktuje to jako dzień zerowy pomimo ciekawej okoliczności, że Microsoft jest członkiem założycielem TCG i dlatego prawdopodobnie był wtajemniczony w odkrycie przed jego publikacją” – powiedział. „Windows 11 i nowsze wersje systemu Windows Server otrzymują łatki. Zamiast łatek administratorzy mogą… starsze produkty Windows, takie jak Windows 10 i Server 2019 otrzymują kolejne ukryte przypomnienie, że Microsoft zdecydowanie wolałby, aby wszyscy dokonali aktualizacji”.
Jedna z łat sklasyfikowanych jako „krytyczne” ma tak ogromny wpływ, że niektórzy eksperci ds. bezpieczeństwa doradzają działom IT natychmiastowe załatanie. McCarthy ostrzegł, że krytyczna luka CVE-2025-49708 w komponencie Microsoft Graphics, mimo że jest klasyfikowana jako problem bezpieczeństwa związany z „podniesieniem uprawnień”, ma poważny wpływ na świat rzeczywisty.
„To pełna maszyna wirtualna [VM] uciec” – powiedział. „Ta wada, z wynikiem CVSS wynoszącym 9,9, całkowicie burzy granicę bezpieczeństwa pomiędzy gościnną maszyną wirtualną a systemem operacyjnym hosta”.
McCarthy nalegał, aby organizacje potraktowały priorytetowo załatanie tej luki, ponieważ unieważnia ona podstawową obietnicę wirtualizacji w zakresie bezpieczeństwa.
„Udany exploit oznacza, że osoba atakująca, która uzyska dostęp nawet z niskimi uprawnieniami do pojedynczej, niekrytycznej maszyny wirtualnej gościa, może złamać i wykonać kod z uprawnieniami systemowymi bezpośrednio na podstawowym serwerze hosta” – powiedział. „To niepowodzenie izolacji oznacza, że osoba atakująca może następnie uzyskać dostęp do danych, manipulować nimi lub je zniszczyć na każdej innej maszynie wirtualnej działającej na tym samym hoście, w tym na kontrolerach domen o znaczeniu krytycznym, bazach danych lub aplikacjach produkcyjnych”.