Microsoft Patch Tuesday för juni 2025 åtgärdar exploaterad zero-day och 66 sårbarheter

Tisdagen den 10 juni 2025 släppte Microsoft sin Patch Tuesday för juni 2025 där 66 sårbarheter har åtgärdats. Månadens patch innehåller korrigeringar för en aktivt utnyttjad zero-day, nio kritiska säkerhetsbrister samt ytterligare 56 säkerhetsbrister med varierande allvarlighetsgrad.

Antal buggar per sårbarhetskategori:

• 13 utökade privilegier (Elevation of Privilege Vulnerability)
• 3 Förbikoppling av säkerhetsfunktioner (Security Feature Bypass Vulnerabilities)
• 25 fjärrkörning av kod (Remote Code Execution Vulnerabilities)
• 17 informationsläckor (Information Disclosure Vulnerabilities)
• 6 tjänstenekning (DoS)
• 2 spoofingsårbarheter (Spoofing Vulnerabilities)

Microsoft Windows fick 44 patchar, ESU 24 och Office 18. Siffrorna inkluderar inte sårbarheter i Mariner, Microsoft Edge eller Power Automate som redan åtgärdats tidigare i månaden.

Detaljer om de två zero-daysårbarheterna:

1. Aktivt exploaterad zero-day – CVE202533053 (baspoäng: 8,2, hög)
   En Web Distributed Authoring and Versioning (WebDAV)relaterad sårbarhet med fjärrkörning av kod där angripare kan kontrollera filnamn eller sökvägar utan att behöva autentisera sig. Då WebDAV främst är en serverprogramvara krävs det att användare luras till att klicka på en speciellt konstruerad .urlfil för att bristen ska kunna utnyttjas. En ny kampanj från APTgruppen Stealth Falcon, som bland annat riktade sig mot en stor turkisk försvarsorganisation, utnyttjar denna sårbarhet. Den är nu listad i CISA:s katalog över exploaterade sårbarheter.
2. Offentligt känd zero-day – CVE202533073 (baspoäng: 8,8, hög)
   En privilegieeskalationssårbarhet i Windows SMBklienten. Genom ett skript kan en angripare tvinga målsystemet att autentisera sig via SMB och höja sina rättigheter. Trots att buggen har offentliggjorts har inget utnyttjande påträffats i det vilda. En uppdatering är nu tillgänglig, men enligt uppgift kan bristen mitigeras genom att tvinga SMB-signering på serversidan via grupprinciper

Hela listan över sårbarheter och berörda system återfinns i Microsofts Security Update Guide för juni 2025: https://msrc.microsoft.com/update-guide/releaseNote/2025-jun 

FIN6 utger sig för att vara jobbsökare för att kompromettera rekryterares enheter

FIN6, även kallade “Skeleton Spider”, är en uppmärksammad hotaktör, känd för att bedriva finansiellt bedrägeri. I sin senaste kampanj utger de sig för att vara jobbsökare på plattformar som LinkedIn och Indeed för att infektera rekryterares enheter med skadlig kod kallad More Eggs, som distribueras via falska CV:n och nätfiskesidor.

Enligt en rapport från DomainTools bedriver FIN6 social engineering-kampanjer som bygger på professionell tillit. Det börjar med att gruppen kontaktar rekryterare via LinkedIn eller Indeed, utger sig för att vara engagerade kandidater och skickar därefter nätfiskemeddelanden som leder till infektion. Varken CV:n eller e-postmeddelandena innehåller klickbara länkar, vilket gör att de undgår säkerhetsfilter som organisationer kan ha på plats. Rekryterare behöver istället att skriva in URL:en manuellt, vilket leder till en sida som imiterar en personlig meritportfölj.

URL:erna i dessa kampanjer har följt formatet FörnamnEfternamn.com (t.ex. johnsmith[.]com) och visar bild och namn för att verka trovärdiga. Målsidorna använder trafikfiltrering och CAPTCHA för att bara rikta sig mot männskliga rekryterare. När rekryteraren har verifierats levererar sidan ett skadligt ZIP-arkiv som möjliggör kommandokörning, stöld av inloggningsuppgifter och ytterligare malware – ofta körs allt i minnet för att undvika upptäckt.

Över 84 000 Roundcube-instanser sårbara för aktivt utnyttjad sårbarhet – CVE-2025-49113

Hotaktörer har utnyttjat en kritisk sårbarhet för fjärrkörning av kod (RCE) i Roundcube, spårad som CVE-2025-49113 med ett kritiskt CVSS-betyg på 9,9. Exploateringen började bara dagar efter att patchen släppts och riktades mot över 80 000 servrar.

Sårbarheten orsakas av bristfällig sanering av parametern $_GET['_from'] i Roundcubes bilduppladdningsfunktion, som används för att hantera avsändaridentiteter. Buggen har legat oupptäckt i över ett decenium. En angripare kan utnyttja bristen för att ta över drabbade system och köra skadlig kod – vilket utsätter användare och organisationer för betydande risker.

Rådgivningen från NIST lyder:
”Roundcube Webmail före version 1.5.10 och 1.6.x före 1.6.11 tillåter fjärrkörning av kod av autentiserade användare eftersom parametern _from i URL:en inte valideras i program/actions/settings/upload.php, vilket leder till PHP-objektdeserialisering.”

Sårbarheten har åtgärdats i version 1.6.11 och 1.5.10 LTS. Organisationer rekommenderas att omedelbart tillämpa dessa uppdateringar. Eftersom omfattningen av attackerna ännu är okänd, bör organisationer även övervaka sårbara system samt vara uppmärksamma för brute-force-försök.

Kritiska Fortinet-sårbarheter utnyttjas nu aktivt av Qilin-ransomwaregruppen

Qilin-ransomwaregruppen, även känd som ”Phantom Mantis”, har observerats utnyttja två Fortinet-sårbarheter i FortiOS- och FortiProxy-enheter för att kringgå autentisering på system som ännu inte har uppdaterats. Qilin har tidigare kopplats till en attack mot Synnovis i Storbritannien, en tredjepartsleverantör av medicinska tester och diagnostik.

Threat intelligence-företaget PRODAFT har upptäckt att Qilin utnyttjar två allvarliga sårbarheter: den kritiska out-of-bounds write-sårbarheten CVE-2024-21762 och autentiseringsförbigången CVE-2024-55591. Båda påverkar FortiOS och FortiProxy SSL-VPN.

PRODAFT rapporterar att attackerna mellan maj och juni 2025 särskilt riktades mot organisationer i spansktalande länder. De bedömer dock att valet av offer är opportunistiskt – inte geografiskt eller sektorspecifikt motiverat.

Redan i februari 2024 upptäckte Fortinet att den kritiska sårbarheten CVE-2024-21762 i FortiOS SSL VPN aktivt utnyttjades i det vilda. Även om dessa CVE-nummer är från 2024 verkar det fortfarande finnas Fortinet-enheter som inte har patchats mot dessa sårbarheter

Säkerhetsbrist i Ivanti Workspace Control-hårdkodade nycklar exponerar SQL-inloggningsuppgifter

Ivanti har släppt tre säkerhetsuppdateringar för att åtgärda allvarliga brister i hanteringen av hårdkodade nycklar i plattformen Ivanti Workspace Control (IWC). IWC används av IT-administratörer för att hantera och konfigurera system- och applikationsinställningar för Windows-användare baserat på roller och policyer.

De tre sårbarheterna beror på brister i hårdkodade nycklar som möjliggör privilegieeskalering och systemkompromettering.
De spåras som CVE-2025-5353 och CVE-2025-22455, som båda har hög allvarlighetsgrad med en baspoäng på 8,8, och beskrivs av NIST som en hårdkodad nyckel i Ivanti Workspace Control före version 10.19.10.0 som gör det möjligt för en lokalt autentiserad angripare att dekryptera lagrade SQL-autentiseringsuppgifter. Den tredje sårbarheten, som spåras som CVE-2025-22463 med en hög allvarlighetsgrad på 7,2, beskrivs av NIST som en hårdkodad nyckel i Ivanti Workspace Control före version 10.19.10.0 som gör det möjligt för en lokal autentiserad angripare att dekryptera det lagrade miljö lösenordet.

Uppdateringarna publicerades den 10 juni 2025 och Ivanti uppmanar starkt alla kunder att omedelbart uppdatera. Lyckad exploatering kan leda till kompromettering av autentiseringsuppgifter.Det är för närvarande okänt om sårbarheterna används i riktade attacker.Ivanti hade tidigare meddelat att IWC-plattformen tas ur drift i december 2026 och rekommenderar att användare migrerar till User Workspace Manager.

Avslutande sammanfattning

Om ni är oroliga för något av hoten som beskrivs i detta nyhetsbrev eller behöver hjälp med att avgöra vilka åtgärder ni bör vidta för att skydda er organisation mot de mest väsentliga hoten, vänligen kontakta er kundansvarige eller alternativt kontakta oss för att ta reda på hur ni kan skydda er organisation.

Threat Intel Roundup har sammanställts av Integrity360 och sammanfattar hotnyheter som vi observerar, aktuella vid publiceringstillfället. Den ska inte betraktas som juridisk, konsultativ eller annan professionell rådgivning. Alla rekommendationer bör beaktas i sammanhanget för er egen organisation. Integrity360 intar ingen politisk ståndpunkt i den information vi delar. Dessutom är de åsikter som uttrycks inte nödvändigtvis Integrity360:s åsikter.