Podsumowanie
W październikowych aktualizacjach zbiorczych producenci załatali liczne podatności — rekordowe w skali bieżącego roku. Wśród zagrożeń znalazły się aktywnie wykorzystywane luki typu zero-day w systemach Windows, krytyczne błędy umożliwiające zdalne wykonanie kodu w produktach Fortinet i SAP, a także koniec wsparcia dla szeregu popularnych rozwiązań Microsoftu. Zestawienie zawiera szczegółowe opisy najważniejszych podatności, rekomendacje dla zespołów IT oraz wskazówki dotyczące dalszego postępowania w kontekście zgodności i bezpieczeństwa infrastruktury.
Microsoft łata ponad 170 podatności w Windows
Microsoft wydał październikową paczkę comiesięcznych poprawek — aktualizację Patch Tuesday. Zaadresowano w niej rekordowe 175 podatności, w tym 14 krytycznych [1]. Jak informuje amerykańska agencja CISA, dwie z nich były aktywnie wykorzystywane w atakach typu zero-day [2]. Październik 2025 to również ostatni miesiąc darmowych aktualizacji bezpieczeństwa dla systemu Windows 10.
Opis najważniejszych podatności
CVE-2025-24990 — 7.8 CVSS — aktywnie wykorzystywana podatność polegająca na eskalacji uprawnień w modemie Agere (ltmdm64.sys), który był częścią systemu Windows przez ponad dwie dekady. W odpowiedzi na bieżące ataki, Microsoft zdecydował o całkowitym usunięciu tego komponentu z systemu.
CVE-2025-59230 — 7.8 CVSS — aktywnie wykorzystywana podatność, również polegająca na eskalacji uprawnień. Dotyczy usługi Windows Remote Access Connection Manager (RasMan), odpowiedzialnej za zarządzanie połączeniami VPN i dial-up. Umożliwia uzyskanie uprawnień administratora.
CVE-2025-59227 i CVE-2025-59234 — każda 8.4 CVSS — krytyczne podatności w pakiecie Microsoft Office, pozwalające na zdalne wykonanie kodu (RCE) poprzez podgląd dokumentu w oknie Preview Pane. Nie jest wymagane otwarcie pliku przez użytkownika, a jedynie wymuszenie na nim podglądu, np. przez zastosowanie techniki phishingowych.
CVE-2025-59287 — 9.8 CVSS — krytyczna podatność w usłudze Windows Server Update Services (WSUS), umożliwiająca zdalne wykonanie kodu bez uwierzytelnienia. Microsoft ocenia, że prawdopodobnym jest wykorzystanie jej w atakach.
Zalecane działania
Zalecana jest niezwłoczna aktualizacja systemów Windows — w wersjach dedykowanych stacjom roboczym i serwerom — do najnowszej, dostępnej wersji.
Warto również poinformować użytkowników o możliwych atakach phishingowych, przestrzegających przed wykorzystaniem podatności w pakiecie Office. Emaile, telefony i inne komunikaty, które każą wykonywać konkretne czynności — tu zmierzające do wyświetlenia pliku w podglądzie — wymagają reakcji. Użytkownicy powinni zostać ostrzeżeni, aby w takim wypadku natychmiast przerwali kontakt i zgłosili zdarzenie zgodnie z wewnętrznymi procedurami.
Koniec wsparcia dla Windows 10 i innych produktów Microsoft
Październikowa aktualizacja Patch Tuesday była ostatnią dla: Exchange Server 2016, Exchange Server 2019, Skype for Business 2016, Windows 11 IoT Enterprise Version 22H2, Outlook 2016, jak również popularnego Windows 10.
Kontynuowanie pracy na powyższych systemach i produktach nie jest bezpieczne. Tylko od początku tego roku Microsoft załatał 1021 podatności [3], w tym wiele aktywnie wykorzystywanych. Zwlekanie „tylko do końca roku” czy „jeszcze kilka miesięcy” oznacza świadome narażenie się na setki luk bezpieczeństwa.
Użytkownicy Windows 10 powinni możliwie szybko zaktualizować swoje urządzenia do Windows 11. Podniesienie wersji nie powinno spowodować problemów z kompatybilnością, ponieważ oba systemy współdzielą to samo jądro (NT 10.0). Windows 11 wprowadza także udoskonalenia, zarówno w zakresie spójności interface, bezpieczeństwa (m.in. wykorzystanie TPM 2.0, izolacja rdzenia), czy nowych funkcji. Wśród nich warto wyróżnić karty eksploratora plików, czy snap layouts/groups, pozwalające na wygodne zarządzanie oknami i zapamiętywanie ich układów przy odłączaniu/podłączaniu zewnętrznego monitora.
W przypadku braku możliwości podniesienia wersji (np. niekompatybilności sprzętu), Microsoft umożliwił przedłużenie wsparcia o rok w programie ESU. Należy jednak podkreślić, że zapewnia on wyłącznie poprawki bezpieczeństwa, a nie udoskonalenia i inne aktualizacje. Program ten jest płatny, choć użytkownicy korzystający z Windows 10 22H2 z użyciem konta Microsoft mogą przystąpić do niego za darmo.
Podobne działania są wymagane zalecane w przypadku pozostałych produktów. W szczególności pakiet Office może narażać użytkownika, jeżeli wykorzystywana będzie przestarzała wersja. Każdego roku Microsoft łata kilkadziesiąt podatności w swoim oprogramowaniu biurowym, które jest częstym celem ataków. Wiele z wykorzystywanych luk pozwalało na całkowite przejęcie kontroli nad komputerem. Zarazem nie zawsze była wymagana interakcja z plikiem na urządzeniu.
Aktualizacje produktów Fortinet łatają ponad 30 podatności
W październiku Fortinet opublikował szereg aktualizacji bezpieczeństwa, dla ponad 30 podatności w produktach FortiOS, FortiProxy, FortiWeb, FortiPAM, FortiManager, FortiSandbox i innych. Błęd w zabzpieczeniach mogą zostać wykorzystane do wykonania dowolnego kodu, przejęcia kontroli nad bibliotekami DLL, ataków XSS i DoS, podwyższenia uprawnień, czy eksfiltracji poufnych informacji.
Opis najważniejszych podatności
CVE-2025-57740 — 6.7 CVSS — błąd przepełnienia bufora sterty w funkcji obsługi zakładek RDP w portalu SSL VPN w systemach FortiOS, FortiProxy, FortiPAM. Wykorzystanie podatności wymaga uwierzytelnienia, ale może prowadzić do wykonania kodu z uprawnieniami procesu przez wysłanie spreparowanych danych w żądaniu bookmark RDP [4].
CVE-2025-58325 — 7.8 CVSS — podatność w zabezpieczeniach związana z nieprawidłowym udostępnieniem określonej funkcjonalności w systemie FortiOS. Może umożliwić lokalnemu, uwierzytelnionemu atakującemu wykonywanie poleceń systemowych za pośrednictwem spreparowanych poleceń CLI [5].
CVE-2025-49201 — 7.4 CVSS — podatność w procesie uwierzytelniania w interfejsie WAD/GUI FortiPAM i FortiSwitch Manager. Pozwala atakującemu na ominięcie procesu uwierzytelniania za pomocą ataku siłowego (brute force) [6].
Zalecane działania
Zaleca się niezwłoczną aktualizację produktów, zgodnie z wytycznymi opublikowanymi przez producenta. Szczegółowe informacje o narażonych wersjach oprogramowania oraz aktualizacjach dostępne są na stronie Zaleceń PSIRT FortiGuard Labs.
Październikowe poprawki SAP
SAP opublikował poprawek dla 13 podatności, obejmujących m.in. NetWeaver, S/4HANA, Commerce Cloud, Supplier Relationship Management i inne. Jedna z nich uzyskała najwyższą ocenę ryzyka — 10.0 w skali CVSS [7]. Nie ma informacji o aktywnym wykorzystaniu wskazanych luk przez atakujących.
Opis najważniejszych podatności
CVE-2025-42944 — 10.0 CVSS — krytyczna podatność błędu deserializacji danych w NetWeaver. Pozwala na zdalne wykonanie dowolnych poleceń systemowych przez przesłanie spreparowanego payloadu do otwartego portu RMI-P4.
CVE-2025-42937 — 9.8 CVSS — krytyczna podatność w usłudze drukowania SAPSprint, wynikająca z niewystarczającej walidacji informacji o ścieżce podanej przez użytkownika. Pozwala nieuwierzytelnionemu atakującemu na przedostanie się do katalogu nadrzędnego i nadpisanie plików systemowych. W efekcie może nieść dotkliwe reperkusje dla integralności oraz dostępności aplikacji.
CVE-2025-42910 — 9.0 CVSS — krytyczna podatność braku weryfikacji typu lub zawartości pliku w Supplier Relationship Management. Umożliwia uwierzytelnionemu atakującemu na przesłanie dowolnych plików, w tym wykonywalnych. Udana eksploatacja może poważnie zagrozić poufności, integralności i dostępności danych zebranych w aplikacji, jak i samemu SRM.
Zalecane działania
SAP nie odnotował aktywnego wykorzystania podatności, jednakże produkty tej firmy są częstym celem ataków. Z tego względu zaleca się możliwie szybką aktualizację, zgodną z zaleceniami producenta, które udostępniono w Bazie Wiedzy.
Wnioski
Jedną z kluczowych informacji jest zakończenie wsparcia dla szeregu produktów Microsoftu, w tym Windows 10 i Exchange Server. Utrzymywanie tych systemów w środowisku produkcyjnym bez aktualizacji oznacza świadome narażenie organizacji na setki niezałatanych luk. Natomiast przedłużenie wsparcia w programie ESU musi być traktowane jako ostatni moment na konieczne zmiany w infrastrukturze. Rekomendowana jest bowiem możliwie niezwłoczna migracja do nowszych wersji — np. Windows 11, nowszych systemów Windows Server. Jest to nie tylko kwestią zgodności, ale przede wszystkim bezpieczeństwa operacyjnego.
W przypadku Fortinet i SAP, podatności dotykają komponentów często wykorzystywanych w infrastrukturze krytycznej — takich jak SSL VPN, systemy zarządzania tożsamością, czy platformy ERP. Ich eksploatacja może prowadzić do wycieku danych, utraty dostępności usług, a w skrajnych przypadkach — naruszenia integralności systemów.
W związku z powyższym, organizacje powinny traktować aktualizacje bezpieczeństwa jako element ciągłego procesu zarządzania ryzykiem, a nie jednorazowe działanie. Wymaga to nie tylko wdrożenia poprawek, ale także edukacji użytkowników, przeglądu polityk dostępu, segmentacji sieci oraz monitorowania wskaźników kompromitacji. W obliczu rosnącej liczby podatności i coraz bardziej zaawansowanych technik ataków, proaktywne podejście do bezpieczeństwa staje się niezbędne. Ma to szczególne znaczenie wobec wymagań DORA lub NIS2 (w tym zbliżającej się nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa).
Opracowanie: Mateusz Rakowski
Threat Intelligence
Nr 10, październik 2025Niniejszy biuletyn jest przeglądem bieżących zagrożeń i technik stosowanych w cyberatakach, skierowanym do wszystkich użytkowników systemów IT. Zachęcamy do jego udostępniania, gdyż podnoszenie świadomości jest kluczowe dla zapewnienia bezpieczeństwa informacji.
Źródła:
[1] https://msrc.microsoft.com/update-guide/releaseNote/2025-Oct
[2] https://www.cisa.gov/news-events/alerts/2025/10/14/cisa-adds-five-known-exploited-vulnerabilities-catalog
[3] https://www.darkreading.com/vulnerabilities-threats/microsoft-october-patch-update
[4] https://www.fortiguard.com/psirt/FG-IR-25-756
[5] https://www.fortiguard.com/psirt/FG-IR-24-361
[6] https://www.fortiguard.com/psirt/FG-IR-25-010
[7] https://support.sap.com/en/my-support/knowledge-base/security-notes-news/october-2025.html