„Microsoft“ išleido saugos biuletenį, skirtą dideliam privilegijuotam pažeidžiamumui padidinti galios puslapiuose, kurį įsilaužėliai išnaudojo kaip nulinę atakų dieną.
Trūkumas, stebimas kaip CVE-2025-23989, yra netinkama prieigos kontrolės problema, daranti įtaką galios puslapiams, leidžiančioms neteisėtiems veikėjams pakelti savo privilegijas tinklo ir apeiti vartotojo registracijos valdiklius.
„Microsoft“ sako, kad ji atkreipė dėmesį į riziką paslaugų lygiu ir atitinkamai pranešė, kad paveikė klientus, pridedant instrukcijas, kaip nustatyti galimą kompromisą.
„Šis pažeidžiamumas jau buvo sušvelnintas paslaugoje ir visiems nukentėjusiems klientams buvo pranešta. Šiame atnaujinime buvo nagrinėjamas registracijos kontrolės aplinkkelis”, – rašoma „Microsoft“ saugos biuletenyje.
„Pažeistiems klientams buvo duotos instrukcijos, kaip peržiūrėti savo svetaines dėl galimo išnaudojimo ir išvalymo metodų. Jei jums nebuvo pranešta, šis pažeidžiamumas neturi įtakos jums.”
„Microsoft Power Pages“ yra mažai kodas, „SaaS“ pagrįsta žiniatinklio kūrimo platforma, leidžianti vartotojams kurti, priglobti ir valdyti saugias išorines verslo svetaines.
Tai yra „Microsoft Power“ platformos dalis, kurioje yra tokios priemonės kaip „Power BI“, „Power Apps“ ir „Power Automate“.
Kadangi „Power Pages“ yra debesų pagrindu sukurta paslauga, galima manyti, kad išnaudojimas įvyko nuotoliniu būdu.
Programinės įrangos milžinas nepateikė išsamios informacijos apie tai, kaip ydos buvo išnaudotos atakose.
Be „Power“ puslapių ydos, „Microsoft“ taip pat ištaisė vakar „Bing“ nuotolinio kodo vykdymo pažeidžiamumą, kuris stebimas kaip CVE-2025-21355, tačiau jis nebuvo pažymėtas kaip išnaudotas.
Problema ištaisyta, tačiau būtini čekiai
„Microsoft“ jau pritaikė pataisas „Power Pages“ paslaugai, o pardavėjas privačiai bendravo tiesiogiai su paveiktais klientais. Vis dėlto yra keletas generinių saugumo patarimų, kuriuos vartotojai gali apsvarstyti.
Administratoriai turėtų peržiūrėti „ActVitiy“ žurnalus įtartinus veiksmus, vartotojų registraciją ar neteisėtus pakeitimus.
Kadangi CVE-2025-23989 yra privilegijų klaidų padidėjimas, vartotojų sąrašai taip pat turėtų būti tikrinami, kad būtų patikrinti administratoriai ir aukštos privilegijuoti vartotojai.
Naujausi privilegijų, saugumo vaidmenų, leidimų ir tinklalapio prieigos kontrolės pakeitimai turėtų būti toliau nagrinėjami.
Rogue paskyros arba tos, kurios rodo neteisėtą veiklą, turėtų būti nedelsiant atšauktos, paveikti įgaliojimai turėtų būti iš naujo nustatyti, o daugiafaktorinis autentifikavimas (MFA) turėtų būti vykdomas visose sąskaitose.
Jei „Microsoft“ nepranešė, jūsų sistema greičiausiai nebuvo paveikta.
