Izraelska tvrtka za prijetnje i obavještajne podatke ClearSky Cyber Security otkrila je kako je kineska APT grupa Mustang Panda iskoristila novu Windows zero-day ranjivost.
ClearSky je najavio da će podijeliti više detalja u nadolazećem blogu. Prema objavi na platformi X, ranjivost još nema dodijeljeni CVE identifikator, što ukazuje na to da je riječ o zero-day napadu.
Microsoft je upoznat s ovom ranjivošću, ali ju je klasificirao kao ‘niskog rizika’. ClearSky je opisao ranjivost kao problem s korisničkim sučeljem (UI vulnerability). Tehnički detalji otkrivaju kako se problem pojavljuje prilikom ekstrakcije datoteka iz RAR arhiva.
Opis ranjivosti:
- Kada se datoteke izvade iz komprimirane RAR arhive, one postaju skrivene od korisnika.
- Ako su datoteke smještene u mapu, ta mapa izgleda prazno u Windows Exploreru.
- Korištenjem naredbe ‘dir’ moguće je prikazati datoteke koje su inače nevidljive.
- Ako napadači znaju točan put do datoteke, mogu je pokrenuti putem naredbenog retka.
- Primjenom naredbe ‘attrib -s -h’, kreira se nepoznati tip datoteke povezan s ActiveX komponentom tipa ‘Unknown’.
Ova ranjivost omogućava napadačima da iskoriste skrivene datoteke bez znanja korisnika, čime povećavaju rizik od malicioznih aktivnosti.
Microsoft je već adresirao više od 50 ranjivosti u najnovijem Patch Tuesday ažuriranju, uključujući dvije zero-day ranjivosti:
- CVE-2025-21391 – ranjivost koja omogućava eskalaciju privilegija i brisanje datoteka s uređaja.
- CVE-2025-21418 – ranjivost u Windows Ancillary Function driveru koja također omogućava eskalaciju privilegija na razinu System.