2025. 08. 16., 09:54

Sokkoló hibák a Microsoftnál, a Kerberos sincs biztonságban

Sokkoló hibák a Microsoftnál, a Kerberos sincs biztonságban
Augusztusban ismét elérkezett a Microsoft havi hibajavító napja, és ahogy az utóbbi hónapokban már megszokhattuk, most is bőven volt mit foltoznia a redmondi óriásnak. Az augusztus 2025-ös Patch Tuesday (hibajavító kedd) frissítéssel összesen 108 biztonsági rést szüntettek meg, köztük egyet, amelyet már nyilvánosan ismertek egészen addig, amíg nem érkezett rá hivatalos javítás. Ezúttal különösen fontos volt a Windows Kerberos rendszer sebezhetőségének megszüntetése.

Kritikus és súlyos sérülékenységek

A javítások összesítéséből kiderül, hogy 13 kritikus kategóriába sorolt sebezhetőséget javítottak; ezek közül kilenc lehetővé tette a támadók számára, hogy távolról saját kódot futtassanak, ezen kívül három alkalmas volt érzékeny adatok kiszivárogtatására, egy további pedig jogosultságemelésre.

A több mint száz javított sérülékenység között 44 jogosultságemelési, 35 távoli kódfuttatási, 18 információszivárgási, 4 szolgáltatásmegtagadásos (DoS), valamint 9 megtévesztő (spoofing) támadásokra lehetőséget adó hiba szerepelt.

Nem elhanyagolható tényező, hogy ez a lista csak az augusztus 2025-ös Patch Tuesday keretében kiadott hibajavításokat tartalmazza, vagyis nem számolja bele a hónap elején foltozott Azure-, Mariner- és Microsoft Edge-problémákat.

A Kerberos nulladik napi hibája sem maradt ki

A hónap egyik legfontosabb eseménye, hogy a Microsoft most először adott ki javítást a Windows Kerberos rendszert érintő nulladik napi sérülékenységre. Ez a hiba lehetővé tette egy hitelesített támadó számára, hogy teljes tartományi adminisztrátori hozzáférést szerezzen a hálózatban, méghozzá úgy, hogy a Windows Kerberos rendszer egyik útvonalkezelési hibáját kihasználva jogosultságot emelt.

A támadó akkor juthatott hozzá a kulcsfontosságú dMSA attribútumok módosításához, ha ezekhez megfelelő hozzáféréssel rendelkezett. Ez magában foglalta a msds-groupMSAMembership-et (ami a dMSA használatához szükséges), illetve a msds-ManagedAccountPrecededByLink-et (amelyen keresztül megadható, mely felhasználó nevében járhat el a dMSA) írási jogosultságát.

Fontos részlet, hogy ezt a sebezhetőséget Yuval Gordon (Akamai) fedezte fel, és már májusban nyilvánosságra hozta a részleteit.

További iparági hibajavítások és figyelmeztetések

Ugyanakkor nem csak a Microsoft dolgozott augusztusban biztonsági rések elhárításán: számos más nagy szoftvercég is kénytelen volt kiadni hibajavításokat vagy figyelmeztetéseket. Ezek között volt például:

– 7-Zip, ahol egy elérési útvonal-manipuláció révén lehet távoli kódfuttatást (RCE – Remote Code Execution) elérni
– Adobe, amely az AEM Forms alkalmazás több nulladik napi problémájára reagált
– Cisco, amely a Webex és az Identity Services Engine termékeit foltozta
– Fortinet, amely számos termékében (FortiOS, FortiManager, FortiSandbox, FortiProxy) javított hibákat
– Google, amely az Android két aktívan kihasznált Qualcomm hibájára adott ki foltozást
– Proton Authenticator iOS-alkalmazás, amelynél kiderült, hogy nyílt szövegként tárolta a TOTP titkos kulcsokat
– SAP, amely több tucat, akár 9,9-es súlyosságú hibát javított
– Trend Micro, amely az Apex One termékben fedezett fel aktívan kihasználható távoli kódfuttatási (RCE) hibát
– WinRAR, amely a hónap végén egy távoli kódfuttatásra alkalmas sérülékenységet zárt le


Hibajavítások és érintett rendszerek

Az augusztusi frissítés a Microsoft számos termékét és komponensét érintette. Például az Azure File Sync, Azure Stack, Azure Virtual Machines, GitHub Copilot és Visual Studio egyaránt kaptak frissítéseket, amelyek közül több kritikus vagy fontos besorolású volt.

Az Office-alkalmazások (Word, Excel, PowerPoint, Visio, SharePoint) szintén érintettek voltak: több helyen sikerült kódfuttatási, illetve információszivárgási rést betömni. A Windows operációs rendszerben például frissült a Desktop Windows Manager, a DirectX, a Kernel Streaming WOW Thunk Service Driver, az NTFS, az SMB és még a Windows Subsystem for Linux (WSL2) is.

Kiemelendő, hogy a Windows NTLM, a Microsoft Exchange Server, a Windows Media és a Microsoft Teams is megkapta a maga javításait, mivel mindegyikükön keresztül esély nyílt volna kártékony kód futtatására vagy érzékeny adatok megszerzésére.

A javítások összefoglalása és tanulsága

Ennek fényében egyre világosabb, hogy a Microsoft ökoszisztéma komplexitása és a támadók egyre kifinomultabb módszerei miatt a rendszeres, azonnali hibajavítás ma már elkerülhetetlen. Az augusztusi frissítéshullám különlegessége a Windows Kerberos nulladik napi javítása, de a többi, súlyosnak minősített sebezhetőség is azt mutatja: egyre több eszköz, felhőszolgáltatás és alkalmazás válik célponttá.

Aki nem telepíti ezekre a rendszerekre a legújabb javításokat, saját és cége adatait veszélyezteti. Az MI által végzett automatikus kibervédelmi ellenőrzések is csak akkor eredményesek, ha a rendszer mindig naprakész. A jelenlegi helyzetben nem kérdés, hogy a hibajavításokra nemcsak érdemes, de muszáj is azonnal reagálni.

2025, adminboss, www.bleepingcomputer.com alapján

  • Mit gondolsz, mennyire bízhatunk meg teljesen a szoftverek biztonságában?
  • Te a cégednél azonnal telepítenéd a hibajavításokat, vagy inkább várnál vele?
  • Szerinted a nagy cégek felelősek, ha egy ilyen sebezhetőség miatt kár keletkezik?


Legfrissebb posztok

MA 17:02

A Rhythm Heaven Groove fél ütemmel kullog a vetélytársak mögött

Ha valaki több mint egy évtizede játszott a Rhythm Heavennel, valószínűleg sosem felejtette el azt a különös, szürreális világot, ahol dadogó pankrátorok és furcsa madarak ugrálnak egy lélekmelengető popdallamra...

MA 16:31

Az antwerpeni társasháztűzben legalább hatan meghaltak

🔥 Legalább hatan életüket vesztették, amikor tűz ütött ki egy tízemeletes társasházban Antwerpen Linkeroever városrészében...

MA 16:01

A brit üvegszálfronton új csavar: gyorsítottan kebeleznék be a Netomniát

A brit távközlési piac gigantikus átalakulása zajlik: az ország versenyhatósága kiemelt vizsgálatot indított annak kapcsán, hogy a Netomnia anyavállalatát, a Substantialt a Liberty Global, a Telefonica és az InfraVia konzorciuma felvásárolja...

MA 15:31

Az étteremláncok titkos háborúja az új márkák bekebelezéséért

Egy márka felvásárlása mindig izgalmas hír, de az igazi próbatétel csak akkor kezdődik, amikor a háttérben elindul a két vállalkozás összefésülése...

MA 15:01

A Meta limitet szab az okosszemüvegek Conversation Focusának

👑 A Meta okosszemüvegei új korlátozást kaptak: már csak havi három órán át használható ingyen a Conversation Focus nevű funkció...

MA 14:31

Az amerikai kormány újra zöld utat ad Anthropic Mythos és Fable MI‑modelljeinek

Az Egyesült Államok Kereskedelmi Minisztériuma feloldotta az exporttilalmat az Anthropic két fejlett MI-modellje, a Mythos 5 és a Fable 5 esetében...

MA 10:25

Az amerikai kormány zöld utat ad a legerősebb Claude-oknak

Az Anthropic szerdától újra elérhetővé teszi a csúcskategóriás Claude Fable 5-öt, miután a Kereskedelmi Minisztérium feloldotta az exportkorlátozásokat...

MA 10:01

A Meta-leépítések után is cáfolja az MI miatti állásfélelmeket Zuckerberg

A technológiai iparban egyre nagyobb félelem övezi azt, hogy az MI széles körű elterjedése mennyi munkahely megszűnéséhez vezethet...

MA 09:25

A rejtélyesen eltűnő chatek: felháborodtak a Claude Code-felhasználók

Érdemes megvizsgálni, hogy a Claude Code felhasználói egyre gyakrabban panaszkodnak arra, hogy egyik napról a másikra eltűnnek a beszélgetési előzményeik...

MA 09:14

A Pokémon GO júliusa: új raidfőnökök, kiemelt órák, GO Fest-őrület

Júliusban a Pokémon GO rajongóira izgalmas hónap vár, hiszen a mobileszközökön futó játék tizedik évfordulóját ünnepli, miközben a Forever Forward szezon tovább pörög...

APP
MA 09:12

APPok, Amik Ingyenesek MA, 7/1

Fizetős iOS appok és játékok, amik ingyenesek a mai napon.     ImgRef (iPhone/iPad)Az App Store szerkesztői által kiemelten ajánlott alkalmazás lenyűgöző, 98%-os ötcsillagos értékeléssel büszkélkedhet...

MA 09:01

Az MI rejtett szívkockázati jelre bukkant a százéves EKG-ban

❤ A hirtelen szívhalál évente rengeteg áldozatot követel, jóllehet a beültethető defibrillátorok már évtizedek óta képesek lennének megelőzni a tragédiák jelentős részét...

MA 08:37

A NASA négy új robotküldetéssel tör utat a holdbázisnak

🚀 Megemlíthető, hogy az amerikai űrügynökség egyre nagyobb lendülettel dolgozik azon, hogy hosszú távú emberi jelenlétet teremtsen a Holdon...

MA 08:25

Az MI-lökéshullám felpörgeti a Dell bevételeit, de messze nem aranybánya

Michael Dell idén egészen elképesztő sikereket ér el: cége meghatározó beszállító lett az adatközpont-fejlesztésekben, többek között a CoreWeave és az xAI számára szállít Nvidia-alapú szervereket, rackeket, hűtőrendszereket, valamint támogatást, miközben együttműködik a Microsofttal, a Google-lel és az OpenAI-jal is nagy teljesítményű MI-rendszerek építésében...

MA 08:13

A 6 milliós Pokémon-kártyalopásért több mint tíz év börtönt kapott

💰 Egy észak-karolinai férfi több mint tíz év börtönt kapott, miután beismerte, hogy januárban Pokémon-kártyákat és pénzt lopott egy helyi videójátékbolt alkalmazottjától Wilmingtonban...

MA 08:01

A Szamóca-hold ma este: az év legalacsonyabb, apró teliholdja

🍇 Idén június 29-én érdemes az eget figyelni: ekkor látható a júniusi telihold, más néven az Eperhold (Strawberry Moon), ami az év legalacsonyabban járó és egyik legkisebb teliholdja lesz...

MA 07:48

Az Android 17 új zárképernyő-trükkje bárkit elbuktat betöréskor

Az Android 17 jelentős szigorításokat vezet be a zárolóképernyőn, amellyel gyakorlatilag ellehetetleníti a PIN vagy jelszó feltörését...

MA 07:36

A kínai Lineshine szuperszámítógép világrekorder: közel 2 kvadrillió művelet/mp

A kínai LineShine szuperszámítógép most először szerezte meg a világelsőséget a számítási sebesség terén...

MA 07:25

Az amerikai agrárminisztérium 180 millió legyet enged szabadon – íme, miért

A mexikói Metapában egy vadonatúj, 2043 négyzetméteres üzemben indult el az Egyesült Államok mezőgazdasági minisztériumának (USDA) legújabb programja: steril legyek tömeges előállítása...

MA 07:13

A Microsoft felpörgeti kvantumbiztos ütemtervét, nőnek a kockázatok

⚡ A Microsoft az eddigieknél sokkal gyorsabban készül átállni a kvantumbiztos védelemre, mert a kvantumszámítógépek fejlődése minden korábbinál nagyobb fenyegetést jelent a jelenlegi titkosítási szabványokra...

MA 06:49

Az MI‑böngészők új réme: a BioShocking-adatlopás

Felmerül a kérdés, hogy mennyire bízhatunk meg a mesterséges intelligenciával hajtott böngészőkben, ha egy új támadás képes kijátszani a biztonsági korlátokat...

MA 06:37

A Samsung szó szerint átformálja a hajlítható telefonjait?

Ahogy beköszönt a nyár, egyre hangosabbak a pletykák a Samsung legújabb összehajtható telefonjairól...

MA 06:06

Történelmi események a mai napon (Július 1.)

Ma háborúk fordulópontjai, birodalmak átrendeződései és új korszakokat nyitó tudományos, társadalmi mérföldkövek találkoznak...

MA 06:01

Az okosabb botvédelem mostantól megóvja a Teams-megbeszéléseket

🔒 A Microsoft fejlesztéseinek köszönhetően mostantól jóval biztonságosabbak lesznek a Teams-megbeszélések, hiszen egy új szabályozás lehetővé teszi, hogy a felhasználók blokkolják az engedély nélküli, harmadik féltől származó botok csatlakozását...

kedd 18:32

A Cleveland-i Fed elnöke szerint MI fűti az inflációt – jöhet újabb kamatemelés

A mesterséges intelligencia infrastruktúrája iránti fékezhetetlen igény egyre nagyobb mértékben fűti az inflációt – figyelmeztetett Beth Hammack, a clevelandi Szövetségi Tartalékbank elnöke...

kedd 18:01

A Samsung Messages júliusban leáll: ezt az 5 dolgot tedd meg azonnal!

⚠ A Samsung Messages alkalmazás hamarosan végleg eltűnik az amerikai felhasználók mobiljáról, így akinek fontosak a régi üzenetei, vagy továbbra is csevegni szeretne, érdemes minél előbb lépnie...

kedd 17:02

Az új CRISPR az epigenomot célozza, átírja a gének kapcsolóit

🔨 Felmerül a kérdés, hogy mi lenne, ha a betegségeket nem csupán a DNS szerkesztésével, hanem a gének működésének speciális beállításával lehetne kezelni?..

kedd 16:31

A Tata Electronicsnál múlt héten kiszivárogtak érzékeny iPhone-beszállítói adatok

Az elmúlt héten hatalmas adatlopás történt az indiai Tata Electronicsnál, ahol közel 630 GB-nyi bizalmas információ került illetéktelen kezekbe...

kedd 16:01

A YouTube-on már nézhető a Peacock – épp a vb-re!

A Peacock Premium Plus már elérhető a YouTube Primetime Channels szolgáltatáson keresztül, így mostantól közvetlenül a YouTube alkalmazásban is előfizethetsz rá, és nézheted az összes tartalmat – legyen szó mobilról, tabletről vagy okostévéről...