Najveći Microsoft Patch Tuesday 2025

Najveći Microsoft Patch Tuesday  – listopad 2025

Microsoft je u listopadu 2025. objavio rekordno velik paket sigurnosnih zakrpa, ispravivši ukupno 177 novih ranjivosti u raznim proizvodima (Windows, Azure, Office, Exchange, Visual Studio, BitLocker, Hyper-V, GitHub, Xbox, itd.). Kada se uračunaju i zakrpe trećih strana objavljene oko istog datuma (npr. Chromium/Edge te druge vanjske komponente), ukupan broj doseže oko 195 CVE oznaka, čime je premašen dosadašnji rekord iz 2024. godine.

Ovaj “Patch Tuesday” paket zakrpa najopsežniji je do sada zabilježen (od kada se vodi evidencija od 2017.). Microsoft je ovim izdanjem pokrio 167 službenih CVE ranjivosti (7 kritičnih, 158 važnih i 2 umjerena značaja), dok je dodatnih 27 ranjivosti vezanih uz Chromium, GitHub, CERT/CC savjete i Azure cloud servisne komponente adresirano odvojeno nekoliko dana ranije. U prijevodu, administratori su ovog mjeseca suočeni s pravom poplavom zakrpi i ignoriranje ažuriranja više nije opcija jer tempo nadogradnji postaje nemilosrdan.

Zakrpe rješavaju čitav spektar sigurnosnih propusta, od eskalacije privilegija (EoP), daljinskog izvršavanja koda (RCE), zaobilaženja sigurnosnih značajki, do curenja informacija, DoS napada i spoofing napada. Više od 47% svih ispravljenih ranjivosti ovog mjeseca su EoP tipa (preko 80 propusta), a oko 17% su RCE (preko 30 propusta). Prema službenim podacima, 16 ranjivosti ocijenjeno je “kritičnima”, dok su ostale većinom važne.

Posebno zabrinjava što je više njih već pod aktivnim napadima, a dosta drugih ima potencijal ubrzo postati metom napadača. Ujedno, ovaj Patch Tuesday označava i kraj podrške za Windows 10 (te za proizvode kao što su Office 2016/2019 i Exchange 2016/2019), što znači da je ovo posljednji paket besplatnih sigurnosnih ažuriranja za te platforme. Organizacije će morati prijeći na novije verzije ili platiti produženu podršku kako bi nastavile primati zakrpe.

Zero-day ranjivosti pod aktivnim napadom

Tri zero-day ranjivosti (ranjivosti otkrivene prije nego što je zakrpa bila dostupna) bile su aktivno iskorištavane u napadima prije nego što su ispravljene. One predstavljaju najhitnije prioritete za instalaciju zakrpa.

· CVE-2025-24990 (Windows Agere modem driver,EoP): Ranjivost lokalne eskalacije privilegija u naslijeđenom upravljačkomprogramu za Agere modeme, koji je prisutan u svim podržanim verzijama Windowsa.Microsoft je reagirao uklanjanjem problematičnog drivera (ltmdm64.sys) jer jeriječ o zastarjelom komponentu.

· CVE-2025-59230 (Windows Remote Access ConnectionManager, EoP): Propust u Windows RasMan servisu koji omogućuje lokalnomautentificiranom napadaču stjecanje SYSTEM razine privilegija. Aktivnoiskorištavana zero-day ranjivost.

· CVE-2025-47827 (Secure Boot bypass u IGEL OS):Ranjivost koja omogućuje zaobilaženje Secure Boot mehanizma na uređajima s IGELOS-om. Napadač može podmetnuti zlonamjerni datotečni sustav i pokrenutivlastiti kernel.

Visokorizične ranjivosti koje bi napadači mogli uskoro iskoristiti

· CVE-2025-59287 (WSUS RCE): Kritična RCEranjivost (CVSS 9.8) u WSUS servisu. Omogućuje neautenticiranom napadačupotpuno kompromitiranje WSUS servera i manipulaciju distribucijom zakrpa.

· CVE-2025-55315 (ASP.NET Core HTTP RequestSmuggling): Kritična ranjivost (CVSS 9.9) u ASP.NET Core koja omogućujezaobilaženje autentikacije i krađu podataka kroz HTTP smuggling napade.

· CVE-2025-49708 (Windows Graphics Component): RCEranjivost (CVSS 9.9) koja omogućuje kompromitaciju sustava na kernel raziniputem zlonamjernih grafičkih datoteka.

· CVE-2025-59218 i CVE-2025-59246 (Azure EntraID): Kritične ranjivosti koje omogućuju eskalaciju privilegija u Azureidentitetskoj infrastrukturi. CVSS do 9.8.

· CVE-2025-59252, CVE-2025-59286, CVE-2025-59272(Microsoft Copilot): Spoofing ranjivosti koje omogućuju prikaz lažnihinformacija u AI sučelju Copilota, s mogućim socijalnim inženjeringomkorisnika.

Ranjivosti u Microsoft Office i Exchange

· CVE-2025-59227 i CVE-2025-59234 (Office RCE):Propusti u Office paketu koji omogućuju izvršavanje koda putem Preview Paneznačajke. CVSS 7.8.

· CVE-2025-59226 i CVE-2025-59238 (Visio iPowerPoint RCE): Propusti u Office aplikacijama koji omogućuju pokretanje kodaotvaranjem zaraženih datoteka. CVSS 7.8.

· CVE-2025-59249 i CVE-2025-53782 (Exchange EoP):Ranjivosti koje omogućuju eskalaciju privilegija i kompromitaciju mailboxova.

Zaobilaženje sigurnosnih značajki i infrastrukturni rizici

· Šest ranjivosti u BitLocker enkripciji(CVE-2025-55331 do CVE-2025-55338): Omogućuju zaobilaženje BitLocker zaštitediska i dešifriranje podataka.

· CVE-2025-55340 (RDP autentikacija): Ranjivostkoja omogućuje zaobilaženje autentikacije u Remote Desktop protokolu.

· CVE-2025-0033 (AMD SEV-SNP): Propust u AMD EPYCprocesorima koji ugrožava Azure Confidential Computing okoline.

Ostale infrastrukturne ranjivosti uključuju Azure Monitor Agent, Azure PlayFab, Xbox servis, .NET i druge komponente.

Zaključak

Listopadski Patch Tuesday 2025 označava prekretnicu s više od 170 zakrpi, uključujući rekordni broj kritičnih i zero-day propusta. Administratori moraju primijeniti risk-based pristup, odmah zakrpati aktivno iskorištavane i visoko rizične propuste, a potom planirati migraciju sa zastarjelih proizvoda poput Windows 10 i Exchange 2016/2019. Ignoriranje zakrpa više nije opcija jer se brzina napadača prilagodila tempu objave propusta.

‍