Zaktualizuj Windowsa. Wydano lipcowe poprawki

Przez wiele ostatnich miesięcy, Microsoft był zmuszony łatać komponent RRAS, czyli usługę Routing i Dostęp Zdalny. Jest to mechanizm obecny we wszystkich wersjach Windows (klienckich też) i służy on do zaawansowanej konfiguracji bram VPN i routowania. Obecnie usługa ta znajduje zastosowanie raczej w sieciach firmowych, i to tych bardziej wiekowych, poza nią jest zazwyczaj wyłączona.

W tym miesiącu nowych luk w RRAS jest aż kilkanaście. Wszystkie zostały zgłoszone przez anonimowych badaczy. Zidentyfikowane problemy są poważne. Umożliwiają zdalne wykonanie kodu bez konieczności posiadania ważnych poświadczeń. Zazwyczaj takie luki otrzymują najwyższe możliwe "wyceny" w skali CVSS, tym razem jednak zestaw dziur w RRAS dostał tylko 8.8 punktu w dziesięciopunktowej skali CVSS. Wynika to ze specyficznych okoliczności, potrzebnych do wykorzystania luki.

Dalsza część artykułu pod materiałem wideo

Wyjaśnienie kryje się w detalach zgłoszenia: dziurę da się wykorzystać tylko połączeniem wychodzącym. A więc konieczne jest podstawienie fałszywego serwera docelowego i wywołanie połączenia do niego. Czy zatem na pewno jest to atak zdalny? Cóż, tak. Ataki sieciowe również mogą wymagać interakcji użytkownika. Dzięki temu zestaw podatności w RRAS nie został oznaczony dziesiątką w skali CVSS. Ze względu na specyfikę ataku, wspomniane kilkanaście dziur nie będzie dotyczyć wielu użytkowników. Ale możemy sprawdzić czy jesteśmy podatni, weryfikując stan usługi RRAS następującym poleceniem:

Jeżeli statusem jest "Stopped" a typem uruchomienia "Disabled", podatności w RRAS nas nie dotyczą. Lipcowe poprawki naprawiają jednak także parę innych dziur. Na przykład podatność (tylko jedną, o numerze CVE-2025-47981) w SPNEGO, mechanizmie RFC 4178 do negocjacji metody uwierzytelniania. Protokół ten jest domyślnie włączony w Windows od 2016 roku. Wykorzystanie tej dziury także wymaga pewnych specyficznych okoliczności, ale jest to dziura dotycząca znacznie większego grona niż RRAS.

Dziur jest więcej. Dotyczą między innymi filtra SmartScreen, wewnętrznej usługi CDP, infrastruktury wydruku uniwersalnego oraz API StateRepository (znanego także jako AppRepository). Wersja serwerowa okazuje się też zawierać dziurawą implementację usługi Kerberos. Wszystkie podatności są naprawiane jedną aktualizacją zbiorczą. Dla Windows 11 jest to KB5062553, a dla Windows 10 - KB5062554. Poprawka dla Jedenastki jest już bardzo ciężka. Zajmuje obecnie niemal 3 gigabajty. Oficjalne ISO Windows 11 dalej nie jest zintegrowane z aktualizacjami, co sprawia że instalacja systemu jest dziś dość czasochłonna.

Aktualizacje otrzymuje także Windows Server 2008 R2. Pasują one (po pewnych operacjach i z naruszeniem licencji) także do Windows 7, dla którego wsparcie zakończono w 2020 roku. Poprawki dla tego systemu będą opracowywane jeszcze przez pół roku, do 13 stycznia 2026.