Nicolai Busekist
Microsoft har delt en advarsel, der gælder en række bestemte Windows-brugere.
Samtidig med at Google udsendte en opdatering til alle Chrome-brugere som reaktion på en alvorlig sikkerhedsmæssig sårbarhed, udsendte Microsoft sin egen advarsel.
En nyopdaget zero-day-sårbarhed i Windows Kernel kan give hackere adgang til systemrettigheder. Ja, en Windows-kernel-zero-day. Ja, den er allerede blevet udnyttet. Ja, det er vigtigt at reagere nu.
Det seneste kapitel i det uendelige drama Patch Tuesday er blevet offentliggjort, og denne gang indeholder det ikke færre end 63 sårbarheder. Én af dem skiller sig dog markant ud: CVE-2025-62215, der er en aktivt udnyttet zero-day-sårbarhed i selve Windows Kernel.
“Selvom udnyttelse kræver, at en hacker vinder en ‘race condition’, har Microsoft bekræftet, at denne sårbarhed allerede er blevet aktivt udnyttet,” siger Satnam Narang, ledende forskningsingeniør hos Tenable, ifølge Forbes.
Narang vurderer, at dette er sandsynligt, eftersom CVE-2025-62215 er en rettighedsforøgelsesfejl, ‘som bruges som led i post-exploitation-aktivitet efter indledende adgang via phishing, social engineering eller en anden sårbarhed’.
Microsofts officielle sikkerhedsmeddelelse bekræfter, at ‘parallel udførelse med delt ressource og forkert synkronisering i Windows Kernel gør det muligt for en autoriseret angriber at forhøje rettigheder lokalt’, og at der er observeret udnyttelse i praksis.
“Den vil sandsynligvis påvirke stort set alle systemer, der kører Microsoft-software,” siger Adam Barnett, ledende softwareingeniør hos Rapid7, der tilføjer, at ‘hvis alle forhold spiller i hackerens favør, kan gevinsten være remote code execution som system via netværket uden behov for forudgående adgang’.
Den gode nyhed – ud over at en rettelse allerede findes – er, at Barnett ikke mener, at CVE-2025-62215 er wormable. Men han understreger alligevel, at den bør være ‘topprioritet for stort set enhver, der planlægger månedens patching’.
Årsagen, som Microsoft selv bekræfter, ser ud til at være CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization og CWE-415: Double Free.
De to forhold kombineret betyder ifølge Ben McCarthy, ledende cybersikkerhedsingeniør hos Immersive, at ‘en hacker med lav-privilegeret lokal adgang kan køre et særligt udformet program, som gentagne gange forsøger at udløse denne race condition’.
“Målet er at få flere tråde til at interagere med en delt kernel-ressource uden synkronisering, så kernelens hukommelsesstyring forvirres og frigiver den samme memory-blok to gange,” siger han også.
Dette korrumperer kernel-heap’en, hackeren overskriver hukommelse, og systemets eksekvering kapres. Oversættelse: du er alvorligt på den.
“CVE-2025-62215 åbner ikke bare døren – den flår den på vid gab, når først en angriber er indenfor,” forklarer Jason Soroko fra Sectigo.
