אתמול היה התיקון של מיקרוסופט באוגוסט 2025 ביום שלישי, וזה היה עמוס: החברה הוציאה טלאים ל -107 פגיעויות כולל פגם אחד של אפס יום לניצול ב- Windows Kerberos.
מחשב דופק מדווח כי מכלל הפגמים שהיו קבועים, שלושה עשר דורגו קריטיים. מבין שלושה עשר פגמים קריטיים, תשעה היו פגיעויות בסגנון ביצוע קוד מרחוק, שלוש היו התקפות גילוי מידע ואחת הייתה העלאת הפריבילגיה.
סגנון החרקים מהמספר הכולל של הפגיעויות מתפרק ל:
- 44 גובה פגיעויות הפריבילגיה
- 35 פגיעויות של ביצוע קוד מרחוק
- 18 פגיעויות גילוי מידע
- 4 שלילת פגיעויות שירות
- 9 פגיעויות זיוף
פגיעות האפס-יום (המעקב כ- CVE-2025-53779) היא גובה של Windows Kerberos של פגיעות פריבילגיה. זה פגם בקרברוס שיאפשר להאקרים מאומתים לקבל הרשאות מנהל תחום ברשת. עם זאת, על פי מיקרוסופט, התוקף ידרוש גישה מוגברת לשתי תכונות DMSA על מנת לנצל את הפגיעות.
שתי התכונות הן MSDS-GroupmSambership, מה שיאפשר למשתמש להשתמש ב- DMSA ו- MSDS-ManagedAccountPreceedByLink, שם התוקף צריך לכתוב גישה לתכונה המאפשרת להם לציין משתמש כי ה- DMSA יכול לפעול בשם.
מיקרוסופט ייחסה את גילוי הפגם ליובל גורדון מאקמאי שפרסם דוח טכני על הפגם במאי.
