Microsoft wypuścił swoje Wtorkowa aktualizacja z października 2025 r aktualizacja zabezpieczeń – wydanie rekordowej wielkości usuwające 175 luk w zabezpieczeniach. Aktualizacja zawiera dwie aktywnie wykorzystywane luki typu zero-day i oznacza także koniec regularnego wsparcia bezpieczeństwa dla systemu operacyjnego Windows 10. Liczba 175 typowych luk i zagrożeń (CVE) sprawia, że to wydanie jest największą pojedynczą aktualizacją z wtorkiem, udokumentowaną przez badaczy bezpieczeństwa w ostatnich latach. Wydanie oprogramowania w tym jednym miesiącu spowodowało, że łączna liczba unikalnych luk załatanych przez firmę w 2025 r. wzrosła do 1021. Liczba ta przewyższa łączną liczbę 1009 poprawionych CVE z całego poprzedniego roku. Satnam Narang, starszy inżynier ds. badań w Tenable, stwierdził: „Ponieważ w tym roku pozostały dwa miesiące, przebiliśmy już zeszłoroczną liczbę 1009 załatanych CVE, a wydanie w tym miesiącu daje nam liczbę 1021”. Narang określił, że jest to największa aktualizacja od czasu, gdy Tenable zaczęło śledzić wydania poprawek firmy Microsoft w 2017 r. Wyjaśnił również, że liczba ta nie obejmuje poprawek spoza cyklu wydanych przed główną aktualizacją ani luk w zabezpieczeniach, których Microsoft nie jest wyznaczonym wydawcą. Zbiór luk dotyczy szerokiego spektrum problemów związanych z bezpieczeństwem, w tym luk w zabezpieczeniach umożliwiających zdalne wykonanie kodu (RCE), luk w podnoszeniu uprawnień (EoP), wektorów kradzieży danych, metod ataków typu „odmowa usługi” (DoS) i obejścia istniejących funkcji zabezpieczeń w wielu produktach Microsoft. Wśród luk dwie luki typu zero-day są aktywnie wykorzystywane przez osoby atakujące. Pierwsza, zidentyfikowana jako CVE-2025-59230, to luka umożliwiająca eskalację uprawnień w Menedżerze połączeń dostępu zdalnego systemu Windows i posiadająca ocenę 7,8 w systemie Common Vulnerability Scoring System (CVSS). Ta wada umożliwia atakującemu, który uzyskał już początkowy dostęp do systemu z niskimi uprawnieniami, podniesienie swojego statusu do poziomu administratora. Mike Walters, prezes i współzałożyciel Action1, przedstawił analizę mechanizmu powstawania luki. Ocenił, że luka dotyczy sposobu, w jaki usługa zarządzająca wirtualną siecią prywatną (VPN) i innymi połączeniami zdalnymi przetwarza polecenia od użytkowników o niskich uprawnieniach bez wystarczającego uwierzytelnienia. „Wykorzystanie tej luki jest stosunkowo łatwe, dzięki czemu jest dostępna nawet dla atakujących o umiarkowanych umiejętnościach technicznych” – skomentował Walters. Druga aktywnie wykorzystywana luka dnia zerowego, CVE-2025-24990, również stanowi lukę w zabezpieczeniach umożliwiającą podniesienie uprawnień z wynikiem CVSS wynoszącym 7,8. Ta usterka występuje w sterowniku innej firmy dla modemu Windows Agere. Ten konkretny sterownik jest natywnie dołączony do wszystkich obsługiwanych wersji systemu operacyjnego Windows, dzięki czemu jego obecność jest powszechna. Osoba atakująca może wykorzystać tę lukę, aby uzyskać uprawnienia na poziomie systemu na zagrożonym komputerze. Lukę można wykorzystać nawet wtedy, gdy sprzęt modemu Agere nie jest aktywnie używany w czasie ataku. W odpowiedzi Microsoft usunął sterownik z systemu operacyjnego poprzez aktualizację. To działanie oznacza, że modemy Agere zależne od tego sterownika przestaną działać w poprawionych systemach Windows. W swoim poradniku w tej sprawie Microsoft wydał bezpośrednie zalecenie, stwierdzając, że użytkownicy powinni „usunąć wszelkie istniejące zależności od tego sprzętu”. Aktualizacja zawiera także inne kwestie o wysokim priorytecie, którymi zespoły ds. bezpieczeństwa powinny się zająć. Jedną z takich luk jest CVE-2025-59287, błąd polegający na zdalnym wykonaniu kodu w usłudze Windows Server Update Service (WSUS) z wynikiem CVSS wynoszącym 9,8. WSUS to komponent używany przez organizacje do centralnego zarządzania aktualizacjami i poprawkami oprogramowania oraz dystrybucją ich do komputerów w ich sieciach. Walters of Action1 uznał to za kluczowy problem i wyjaśnił, że udany exploit może prowadzić do poważnych konsekwencji. Te potencjalne skutki obejmują „całkowite naruszenie infrastruktury łatania, wdrażanie złośliwych„ aktualizacji ”w systemach zarządzanych, boczne przemieszczanie się w całym środowisku oraz tworzenie trwałych tylnych drzwi w infrastrukturze aktualizacji” – stwierdził. Firma Microsoft oficjalnie sklasyfikowała CVE-2025-59287 jako lukę, którą atakujący chętniej wykorzystują. Inną poważną luką, którą usunięto, jest CVE-2025-55315, obejście funkcji zabezpieczeń w środowisku ASP.NET Core, które uzyskało wynik CVSS na poziomie 9,9. Według oceny Microsoftu luka ta może mieć duży wpływ na poufność, integralność i dostępność systemu. Udany exploit umożliwiłby osobie atakującej przeglądanie poświadczeń użytkownika, zmianę zawartości plików na serwerze docelowym lub spowodowanie awarii systemu. Ben McCarthy, główny inżynier ds. bezpieczeństwa cybernetycznego w Immersive, przedstawił dodatkowy kontekst dotyczący warunków exploitów. „Należy zauważyć, że anonimowy atakujący nie może wykorzystać tej luki; wymaga ona najpierw uwierzytelnienia podmiotu zagrażającego przy użyciu prawidłowych danych uwierzytelniających użytkownika o niskim poziomie uprawnień” – stwierdził McCarthy w swoim komentarzu do wydania łatki. Październikowy cykl aktualizacji oznacza także oficjalnie koniec życia systemu operacyjnego Windows 10. Oznacza to, że Microsoft nie będzie już dostarczał regularnych poprawek zabezpieczeń dla luk wykrytych w systemie operacyjnym w ramach comiesięcznego harmonogramu wtorkowych łat. Zaprzestanie wsparcia dotyczy znacznej bazy użytkowników, ponieważ system operacyjny Windows 10 ma obecnie około 41% udziału w światowym rynku wersji Windows dla komputerów stacjonarnych. W przypadku organizacji, które nadal korzystają z systemów z systemem Windows 10, wymagana jest określona ścieżka dalszego wsparcia. Nick Carroll, menedżer ds. reagowania na incydenty cybernetyczne w firmie Nightwing, wyjaśnił w oświadczeniu, że podmioty te będą musiały zarejestrować się w programie rozszerzonych aktualizacji zabezpieczeń (ESU), aby otrzymywać poprawki zabezpieczeń wykraczające poza tę ostateczną aktualizację. Program ESU to płatna usługa zapewniająca poprawki zabezpieczeń przez ograniczony czas po oficjalnej dacie zakończenia wsparcia technicznego produktu. Zakończenie wsparcia nie ograniczało się do systemu Windows 10. W tym tygodniu kilka innych produktów firmy Microsoft również osiągnęło swój kamień milowy. Na tej liście znajdują się programy Exchange Server 2016, Exchange Server 2019, Skype for Business 2016, Windows 11 IoT Enterprise wersja 22H2 i Outlook 2016. Produkty te nie będą już otrzymywać regularnych aktualizacji zabezpieczeń. Carroll skomentował szersze konsekwencje tego etapu cyklu życia dla wielu produktów. „Wszystkie te i inne produkty nie będą już otrzymywać poprawek zabezpieczeń” – powiedział – „ale to nie znaczy, że cyberprzestępcy przestaną tworzyć dla nich nowe exploity”.
