A Microsoft kiadta novemberi biztonsági frissítéseit, amelyek 63 sebezhetőséget javítanak a teljes termékportfólióban — ebből 5 „kritikus”, és 1 már aktívan kihasznált (CVE-2025-62215).
Ez a kiadás nem pusztán rutinfrissítés:
az egyik hiba már „in the wild” kihasználás alatt áll, így a javítás azonnali prioritás minden szervezet számára.
📊 A sebezhetőségek bontása típus szerint
| Típus | Esetszám |
|---|---|
| Spoofing | 2 |
| Security Feature Bypass | 2 |
| Denial of Service (DoS) | 3 |
| Information Disclosure | 11 |
| Remote Code Execution (RCE) | 16 |
| Elevation of Privilege (EoP) | 29 |
⚠️ Miért sürgős a frissítés?
- 63 CVE – az elmúlt hónapok egyik legnagyobb csomagja.
- CVE-2025-62215 már aktívan kihasznált kernelhiba.
- Több távoli kódfuttatási (RCE) és jogosultságemelési (EoP) sebezhetőség is szerepel.
- Az érintett komponensek széles köre (Windows Kernel, GDI+, Office, Visual Studio, DirectX) komplex telepítési feladatot igényel.
🧨 A kihasznált 0-day – CVE-2025-62215
| Jellemző | Leírás |
|---|---|
| Típus: | Windows Kernel – jogosultságemelési sebezhetőség |
| CVSS 3.1 pontszám: | 7.8 |
| Támadási összetettség: | Alacsony |
| Állapot: | Aktívan kihasznált (in the wild) |
| Következmény: | Helyi támadó SYSTEM jogosultságot szerezhet egy kernelversenyfeltételen keresztül |
🎯 Mit jelent ez?
Egy helyi felhasználó vagy rosszindulatú folyamat teljes rendszerszintű hozzáférést szerezhet.
A javítást nem szabad a következő karbantartási ablakig halasztani.
Átmeneti védelem:
- Korlátozd a helyi adminjogokat,
- figyeld a szokatlan privilégiumemeléseket,
- alkalmazz EDR-figyelést kernelanomáliákra.
🔥 A hónap 5 kritikus hibája
| CVE | Komponens | Típus | CVSS | Kockázat | Megjegyzés |
|---|---|---|---|---|---|
| CVE-2025-60724 | GDI+ | RCE | 9.0 | Magas | Heap overflow, felhasználói beavatkozás nélkül is kihasználható |
| CVE-2025-30398 | Nuance PowerScribe 360 | Infó-szivárgás | 8.1 | Magas | API-hitelesítés hiánya, személyes adatok szivárgása |
| CVE-2025-62199 | Microsoft Office | RCE | 7.8 | Magas | „Use-after-free” – rosszindulatú dokumentum megnyitásával |
| CVE-2025-60716 | DirectX Graphics Kernel | EoP | 7.0 | Közepes | Jogosultságemelés lokális támadónak |
| CVE-2025-62214 | Visual Studio (Copilot integráció) | RCE | 6.7 | Közepes | Prompt injection, AI-parancsokkal távoli kódfuttatás |
🧩 „Fontos”, de valószínűbb kihasználású hibák
| CVE | Komponens | Hatás | Típus |
|---|---|---|---|
| CVE-2025-59512 | Customer Experience Program | SYSTEM szint | EoP |
| CVE-2025-60705 | Client-Side Caching Service | Admin szint | EoP |
| CVE-2025-60719 | WinSock driver | SYSTEM szint | EoP |
| CVE-2025-62217 | WinSock driver | SYSTEM szint | EoP (versenyfeltétel) |
| CVE-2025-62213 | WinSock driver | SYSTEM szint | Use-after-free EoP |
➡️ Ezek a hibák az oldalirányú mozgás (lateral movement) második lépcsőjét segítik – a támadók így szerezhetnek magasabb jogosultságot már fertőzött gépeken.
🧠 Védelmi prioritások
1️⃣ Azonnali patch
- CVE-2025-62215 (0-day)
→ telepíts azonnal, akár üzemszüneten kívül.
2️⃣ Magas kockázatú RCE
- CVE-2025-60724 (GDI+) – dokumentumfeltöltő rendszerekben különösen veszélyes.
- CVE-2025-62199 (Office) – klasszikus e-mail mellékletes fertőzés.
3️⃣ Lokális EoP-hibák
- Ellenőrizd, van-e helyi hozzáférés a rendszeren (pl. megosztott gépek).
4️⃣ Web- és dokumentumszolgáltatások
- Teszteld azokat a webes felületeket, amelyek dokumentumokat fogadnak – ezek lehetnek a GDI+ célpontjai.
5️⃣ Verzió-ellenőrzés
- Régebbi OS-ek (pl. Windows 10) csak ESU programban kapnak frissítést.
6️⃣ Defense-in-Depth
- Folyamatos naplózás, EDR, kernel-anomália figyelés,
- Patch-rollback-terv az esetleges kompatibilitási hibákhoz.
🕰️ Miért ismétlődnek ezek a minták?
- Az utóbbi hónapokban (pl. augusztusban) hasonlóan nagy mennyiségű RCE és 0-day jelent meg.
- A támadási felületek bővülnek: AI-eszközök, felhő, DevOps, régi Windows-verziók.
- A jogosultságemelés (EoP) ma már nem marginális — ez a támadások 2. fázisa.
🧭 Összegzés
A 2025. novemberi frissítések nem csupán karbantartási jellegűek — ez egy kritikus védelemi esemény.
A 0-day kernelhiba, a több RCE és a lokális EoP-k kombinációja azt jelenti, hogy a „patch majd a hónap végén” hozzáállás már nem tartható.
🧩 A sebezhetőség közzététele és a támadói szkennelés közötti időablak ma már napokban, nem hetekben mérhető.
