Postřehy z bezpečnosti: Windows pod pořádnou palbou zranitelností

Zero-Day zranitelnosti v produktech Microsoft

Společnost Microsoft vydala 13. 5. spolu s bezpečnostními aktualizacemi varování ohledně několika aktivně zneužívaných zranitelností a pro nás zajímavé zranitelnosti CVE-2025–30397, která ovlivňuje všechny podporované verze systému Windows a je využitelná jako Remote Code Execution.

Zranitelnost CVE-2025–30397 byla ohodnocena oficiálním CVSS skóre 7,5, což ji řadí mezi vysoce závažné chyby. Microsoft sice uvádí vysokou složitost útoku, ovšem realita se může poněkud lišit. Předpokladem pro zneužití zranitelnosti je totiž mít v Microsoft Edge povolený režim zpětné kompatibility s Internet Explorerem, který spousta společností využívá kvůli stále provozovaným starým aplikacím. S relativně vysokou pravděpodobností již připraveného prostředí tedy stačí „jen“ přimět uživatele otevřít škodlivý odkaz.

Pokud je přesně toto váš případ, je myslím na místě považovat zranitelnost za kritickou a přistoupit co nejdříve k aplikaci bezpečnostních aktualizací či zablokování režimu kompatibility.

Kromě CVE-2025–30397 upozorňuje Microsoft i na další čtyři zero-day zranitelnosti, které jsou aktivně zneužívány: 

• CVE-2025–32709: Jedná se o chybu typu zvýšení oprávnění (elevation of privilege) ve Windows Ancillary Function Driver for WinSock. Útočník může touto chybou získat lokální administrátorská oprávnění. Dopad je významný zejména u systémů Windows Server 2012 a novějších. 
• CVE-2025–32701 a CVE-2025–32706: Dvojice zero-day chyb ve Windows Common Log File System (CLFS), které umožňují útočníkovi lokálně získat systémová oprávnění. Zranitelnosti ovlivňují všechny verze Windows a Microsoft Threat Intelligence Center aktivně sleduje úroveň jejich zneužívání. 
• CVE-2025–30400: Další chyba typu zvýšení oprávnění se týká komponenty Desktop Windows Manager. Ovlivňuje Windows 10, Server 2016 a novější verze. Chyba slouží jako důkaz, že tento typ zranitelností stále patří k oblíbeným cílům útočníků. 

Skrytý malware v npm balíčku os-info-checker-es6

Bezpečnostní výzkumníci nedávno objevili škodlivý balíček s názvem „os-info-checker-es6“, který byl zveřejněn v registru npm. Balíček se tvářil jako neškodný nástroj pro získávání informací o operačním systému, avšak ve skutečnosti potají stahoval a spouštěl další část škodlivého kódu. Společnost Veracode upozornila na to, že počáteční kód využíval steganografii na bázi Unicode pro skrytí škodlivých instrukcí a jako „dropper“ využíval zkrácený odkaz na událost v Kalendáři Google. 

Balíček byl poprvé nahrán 19. března 2025 uživatelem s přezdívkou „kim9123“ a byl od té doby stažen více než 2 000krát. Stejný uživatel zveřejnil také balíček „skip-tot“, který „os-info-checker-es6“ uváděl jako svou závislost. Prvních pět verzí balíčku neobsahovalo žádné známky škodlivého chování, avšak verze nahraná 7. května 2025 již obsahovala obfuskovaný kód v souboru „preinstall.js“.

Zmíněný skript analyzoval kódové znaky Unicode spadající do „Private Use Area“, tedy oblasti, v níž nejsou standardem bodům kódu přiřazeny žádné znaky, a na jejich základě extrahoval payload pro další fázi útoku. Po spuštění kontaktoval zkrácený odkaz směřující na událost v Kalendáři Google, jejíž titulek obsahoval řetězec zakódovaný v Base64. Tento řetězec se po dekódování přeměnil na IP adresu serveru „140.82.54[.]223“ – to znamená, že Kalendář Google byl zneužit jako prostředník („dead drop resolver“) pro maskování infrastruktury škodlivého kódu. 

Doposud nebylo zaznamenáno žádné další šíření škodlivého kódu, což může znamenat, že kampaň byla pozastavena nebo již skončila. Existuje však i možnost, že řídicí server (C2) odpovídá pouze vybraným strojům, které splňují konkrétní podmínky. Společnost Veracode upozornila na to, že v balíčku bylo pro skrytí škodlivých instrukcí využíváno mj. jejich kódování do netisknutelných Unicode znaků, a také na to, že vybrané verze balíčku využívaly pro stahování dalšího škodlivého obsahu události Kalendáře Google.

Státní webmailové systémy v hledáčku

Výzkumníci ze společnosti ESET odhalili rozsáhlou kyberšpionážní kampaň zvanou RoundPress, která cílila na státní instituce a armádu v různých zemích. V rámci kampaně docházelo ke zneužívání zranitelností v populárních webmailových systémech, které probíhalo minimálně od roku 2023 a za jejichž organizací stála (s vysokou pravděpodobností) známá hackerská skupina APT28, napojená na ruské tajné služby. Mezi napadenými jsou vládní organizace v Řecku, Srbsku, Kamerunu, na Ukrajině i v Ekvádoru, stejně jako obranné a vojenské subjekty v dalších zemích včetně Bulharska a Rumunska.

Útočníci zneužili zranitelností typu XSS (Cross-Site Scripting) v e-mailových platformách jako Roundcube, Zimbra, Horde a MDaemon. K šíření malwaru docházelo prostřednictvím cílených spear-phishingových e-mailů, které obsahovaly odkazy na legitimně působící weby s vloženým škodlivým JavaScriptem. Ve většině případů stačilo, aby oběť e-mail pouze otevřela – bez jakékoli další interakce se spustil kód, který útočníkům umožnil získat přístup k přihlašovacím údajům. Ačkoliv ESET nereportuje pokračování kampaně v roce 2025, popsané metody jsou snadno aplikovatelné na nezaktualizované systémy i nyní.

ESET na základě výše uvedených poznatků znovu zdůrazňuje nutnost pravidelných bezpečnostních aktualizací a zvýšené obezřetnosti při práci s elektronickou poštou.

Hackeři na ukrajinském bojišti

Severokorejská hackerská skupina TA406 (známá také pod názvy Konni nebo Opal Sleet) cílí prostřednictvím phishingových e-mailů na ukrajinské vládní instituce ve snaze získat informace o postoji Ukrajiny k pokračování války, a pomoci tak posoudit rizika pro severokorejské jednotky, které jsou od podzimu 2024 v probíhajícím konfliktu nasazovány na podporu Ruska. 

Jak uvádí aktuální zpráva výzkumníků společnosti Proofpoint, zájem směřuje k lepšímu porozumění korejských orgánů celkovému, tedy nejen přísně vojenskému kontextu válečné situace. Jde například o informace o náladách v ukrajinské společnosti a její chuti podporovat další ozbrojený odpor vůči agresorovi, a s tím související výhled na předpokládanou dobu trvání konfliktu. Z toho lze pak patrně vyvozovat míru rizika pro bojující korejské vojáky nebo třeba také pravděpodobnost, s jakou ruská strana požádá Severní Koreu o vyslání dalších jednotek.

Kybernetičtí útočníci využívají phishingové e-maily, ve kterých se vydávají za členy neexistujících think-tanků, například „Royal Institute of Strategic Studies“, a odkazují na aktuální politické události na Ukrajině (údajné i skutečné „vyhazovy“ vojenských velitelů, prezidentské volby apod.). E-maily odesílané z platforem Gmail, ProtonMail a Outlook obsahují v jednom ze scénářů odkazy na archivy typu RAR hostované na cloudových službách a obsahující soubory s příponou .CHM, které po otevření spustí skript napsaný v PowerShellu.

Následuje proces shromažďování informací o systému oběti, včetně IP konfigurace, seznamu souborů, informací o disku a nainstalovaném antivirovém softwaru. Malware se také pokusí o perzistenci pomocí dávkového souboru spouštěného při startu operačního systému nebo jako plánovaná úloha. Po odeslání aktuálně získaných informací je pak systém oběti připraven k přijetí dalších pokynů útočníků.  

Souběžně byla také pozorována snaha o získání přihlašovacích údajů ukrajinských vládních činitelů k účtům užívaným ve službách společnosti Microsoft, a to za pomoci podvrhnutých „oznámení o neobvyklé aktivitě“ odesílaných prostřednictvím ProtonMailu, jež měla uživatele dovést na falešné přihlašovací stránky.

Korejským státem podporovaná skupina TA406 je z minulosti známa svojí aktivitou namířenou vůči vládním cílům v Ruské federaci, Spojených státech a Jižní Koreji. Ukrajinská virtuální bojiště jsou tak posledním přírůstkem do jejího „portfolia“. Nová zjištění tak jen dále ukazují na rostoucí sofistikovanost a adaptabilitu severokorejských kybernetických operací, které kombinují špionáž, finanční podvody (nebo třeba „outsourcing po korejsku“) a technologické útoky k podpoře severokorejských státních zájmů. 

Ve zkratce

• Coinbase: Únik dat 1 % uživatelů, pokus o vydírání za 20 milionů nevyšel 
  
• Zranitelnost v Chromu umožňuje únik dat mezi doménami 
  
• Samsung opravuje zranitelnost zneužitou pro šíření Mirai přes MagicINFO 9
• Ivanti opravuje dvě zneužívané zero-day chyby v EPMM
• CISA varuje před chybou v aplikaci TeleMessage, kterou používal bývalý poradce pro národní bezpečnost

Pro pobavení