Microsoft v posledních měsících čelí kritice bezpečnostní komunity. Dva odhalené problémy v operačním systému Windows ukazují, jak nebezpečné může být i drobné opomenutí při vývoji. Jedna chyba, označená CVE-2025-9491, má původ už v roce 2017 a stále není opravena. Druhá, známá jako CVE-2025-59287, dostala záplatu teprve po druhém pokusu.

0-day, který přežil osm let

Zranitelnost CVE-2025-9491 se skrývá ve způsobu, jakým Windows pracuje se zástupci typu .lnk. Tyto soubory mají usnadnit spouštění programů, ale právě jejich binární formát umožňuje útočníkům spustit škodlivý kód bez nutnosti otevírat neznámé aplikace.

Podle výzkumníků ze společnosti Trend Micro je tato trhlina zneužívána už od roku 2017 minimálně jedenácti skupinami typu APT, často napojenými na státní struktury. Jejich cílem jsou organizace ve více než šedesáti zemích – nejčastěji v USA, Kanadě, Rusku a Jižní Koreji.

Zvlášť aktivní je nyní čínská skupina UNC-6384, která využívá zmíněnou chybu k šíření známého trojského koně PlugX. Ten umožňuje útočníkům získat vzdálený přístup k napadeným systémům, krást data a instalovat další škodlivé moduly.

Zdroj: Shutterstock

Jak útok funguje

Exploit využívá k maskování RC4 šifrování, díky kterému zůstává binární soubor nečinný až do posledního kroku. Tím se ztěžuje jeho detekce antivirovými programy. Odborníci z firmy Arctic Wolf popisují útoky jako koordinovanou zpravodajskou operaci, která zasáhla několik evropských zemí během krátké doby.

Podle nich jednotnost použitých nástrojů a technik naznačuje centrální řízení a standardizovanou vývojovou základnu, i když útoky prováděly různé týmy.

Co mohou uživatelé dělat

Protože Microsoft stále nevydal záplatu, možnosti ochrany jsou omezené. Nejlepší obranou je blokování nebo omezení spouštění souborů .lnk z nedůvěryhodných zdrojů a vypnutí automatického načítání těchto zkratek ve Windows Exploreru.

Závažnost chyby je hodnocena na 7 z 10, což představuje vysoké riziko pro uživatele i firemní sítě.

Druhá chyba: Problém s WSUS ohrožuje servery

Druhá zranitelnost, CVE-2025-59287, zasahuje systém Windows Server Update Services (WSUS), který slouží k centrální správě aktualizací. Tato chyba umožňuje vzdálené spuštění kódu a má závažnost 9,8 z 10.

Microsoft ji sice opravil v mimořádné aktualizaci, ale až poté, co první pokus v říjnovém Patch Tuesday selhal. Výzkumníci z Huntress a Eye Security potvrdili, že útoky na WSUS servery začaly už 23. října, a o den později je zaznamenala i firma Sophos.

Útoky podle Sophosu nebyly cílené na konkrétní instituce, ale šlo o plošné skenování internetu a automatizované útoky na servery, které měly službu WSUS přístupnou zvenku.

Microsoft mlčí, experti varují

Zatím není jasné, kdy Microsoft vydá opravu pro CVE-2025-9491. Bezpečnostní společnosti mezitím doporučují administrátorům ověřit, zda jejich systémy nejsou vystavené riziku, a sledovat provoz na síti pro možné známky napadení.

Celá situace vyvolává otázky o dlouhodobém přístupu Microsoftu k bezpečnostním chybám, které mohou zůstat bez povšimnutí celé roky. V době, kdy jsou kybernetické útoky stále sofistikovanější a rychlejší, je taková prodleva těžko omluvitelná.