Як повідомляє ArsTechnica, перша з уразливостей, тепер відома як CVE-2025-9491, експлуатується щонайменше з 2017 року. Протягом цього часу її використовували 11 угруповань, багато з яких мають зв’язки з державними структурами.
Помилка пов’язана з Windows Shortcut (файли .lnk) — компонентом, який дозволяє швидко запускати програми або відкривати файли. Через ваду в бінарному форматі ярликів зловмисники можуть встановлювати шкідливі програми, навіть якщо користувач просто відкриває заражений ярлик.
У нещодавніх атаках, зафіксованих Arctic Wolf, китайське хакерське угруповання UNC-6384 використовувало цю вразливість для встановлення вразливості для віддаленого доступу PlugX, відомого засобами шпигунства. Щоб уникнути виявлення, вірус зберігається у зашифрованому вигляді і розшифровується лише під час фінальної стадії атаки.
Попри те що про уразливість стало відомо ще у березні, Microsoft досі не опублікувала виправлення. Її оцінено у 7 балів із 10 за шкалою небезпеки CVSS.
Друга вразливість: помилка у Windows Server Update Services
Друга проблема — CVE-2025-59287, яка стосується Windows Server Update Services — системи для централізованого оновлення серверів. Її оцінили у 9.8 із 10 за рівнем критичності, адже вона дозволяє віддалене виконання коду.
Microsoft спробувала виправити її під час жовтневого оновлення Patch Tuesday, однак фахівці швидко довели, що патч був неповним. Через тиждень компанія випустила повторне оновлення, але на той момент хакери вже почали використовувати уразливість у реальних атаках.
