Forskare har identifierat två Windows-sårbarheter som för närvarande utnyttjas i stor skala, inklusive en zero-day-fel som varit känt för angripare sedan 2017. Microsoft har ännu inte patchat zero-day-felet, medan den andra kritiska frågan fick en nödlösning efter en initial ofullständig patch. Dessa attacker riktar sig mot användare i flera länder och involverar avancerade ihållande hot.
Den första sårbarheten, spårad som CVE-2025-9491, är en zero-day i Windows genvägs binära format som har utnyttjats sedan 2017. Säkerhetsföretaget Trend Micro upptäckte den i mars och noterade utnyttjande av upp till 11 avancerade ihållande hotgrupper (APT) i nästan 60 länder, med USA, Kanada, Ryssland och Korea mest påverkade. Dessa APT:er, ofta kopplade till stater, använde felet — initialt betecknat ZDI-CAN-25373 — för att distribuera olika post-utnyttjande payloads. Sju månader senare har Microsoft inte utfärdat en patch.
På torsdagen rapporterade Arctic Wolf utnyttjande av den Kina-allierade gruppen UNC-6384 mot mål i olika europeiska nationer. Attackerna levererar PlugX-fjärråtkomsttrojanen och håller binären krypterad i RC4-format fram till det sista steget. Arctic Wolf uppgav: “Omfattningen av målinriktning över flera europeiska nationer inom en kondenserad tidsram tyder på antingen en storskalig koordinerad underrättelseinsamling eller distribuerande av flera parallella operativa team med delade verktyg men oberoende målinriktning.” Felets allvar bedöms till 7 av 10, och användare kan mildra risker genom att begränsa .lnk-filer från opålitliga källor via Windows Explorer-inställningar.
Den andra sårbarheten, CVE-2025-59287, påverkar Windows Server Update Services (WSUS) och möjliggör fjärrkodexekvering på grund av en serialiseringsfel. Bedömd till 9,8 i allvar och potentiellt maskbar, hanterades den först i Microsofts oktober Patch Tuesday men visade sig ofullständig efter att offentlig proof-of-concept-kod dök upp. En oschemalagd uppdatering förra veckan tillhandahöll en korrekt lösning. Huntress observerade utnyttjande från 23 oktober, medan Sophos och Eye rapporterade aktivitet från 24 oktober i flera kundmiljöer över industrier. Sophos noterade: “Vågen av aktivitet, som sträckte sig över flera timmar och riktade sig mot internetutsatta WSUS-servrar, påverkade kunder över ett spektrum av industrier och verkade inte vara riktade attacker.” Det är oklart om angripare använde den offentliga proof-of-concept eller utvecklade egna exploits.
Administratörer uppmanas att kontrollera sårbarheter och tillämpa patchar där tillgängliga, även om ingen tidslinje finns för CVE-2025-9491.