Microsoft ka lëshuar përditësime për të rregulluar cenueshmëri të sigurisë në Windows dhe Office, të cilat po shfrytëzohen aktivisht nga hakerët për të hyrë në kompjuterët e përdoruesve. Këto sulme janë të tipit one-click, që do të thotë se një haker mund të instalojë malware ose të marrë akses me ndërveprim minimal nga përdoruesi. Dy cenueshmëri mund të shfrytëzohen thjesht duke mashtruar dikë që të klikojë një lidhje të dëmshme në Windows, ndërsa një tjetër mund të shërbejë për komprometim thjesht duke hapur një dokument Office të infektuar.

Zero-days, shfrytëzimi dhe detajet e kërcënimeve

Cenueshmëritë njihen si zero-days, pasi janë shfrytëzuar nga hakerët para se Microsoft të ofronte një zgjidhje. Sipas Microsoft, detajet për mënyrën e shfrytëzimit janë publikuar, çka shton mundësinë e sulmeve të reja. Kompania nuk ka dhënë detaje se ku janë publikuar, ndërkohë që njohën punën e studiuesve të sigurisë nga Google Threat Intelligence Group për zbulimin e tyre.

Një prej këtyre dobësive, CVE-2026-21510, gjendet te Windows shell, që bën të mundur ndërfaqen e sistemit operativ. Bug-u ndikon të gjitha versionet e suportuara të Windows dhe lejon hakerët të anashkalojnë funksionin SmartScreen, i cili normalisht filtron lidhjet apo dokumentet e rrezikshme. Kjo do të thotë se vetëm një klikim në një lidhje të infektuar mund të çojë në infektime serioze.

Eksperti i sigurisë Dustin Childs thekson se ky bug mund të përdoret për të instaluar malware në distancë në pajisjen e viktimës. Ai shprehet se, edhe pse nevojitet veprim nga përdoruesi, një dobësi që mundëson ekzekutim kodi vetëm me një klik është shumë e rrallë.

Cenueshmëri të tjera dhe masat e ndërmarra nga Microsoft

Një zëdhënës i Google konfirmoi se dobësia në Windows shell po shfrytëzohej gjerësisht dhe fushat e komprometimit përfshijnë ekzekutim të fshehtë të malware me privilegje të larta. Kjo situatë rrit ndjeshëm rrezikun e infektimit të sistemit, përdorimit të ransomware, apo për mbledhje të të dhënave sensitive.

Një tjetër dobësi serioze, CVE-2026-21513, u zbulua në browser engine-in MSHTML të Microsoft, i cili përdorej nga Internet Explorer, por që edhe sot ndodhet te versionet moderne të Windows për qëllime pajtueshmërie. Ky bug lejon anashkalimin e funksioneve mbrojtëse dhe lehtëson instalimin e malware nga hakerët.

Gazetari i sigurisë Brian Krebs raportoi se Microsoft ka rregulluar edhe tre zero-day të tjera, të cilat shfrytëzoheshin aktivisht nga hakerët në produkte të ndryshme të kompanisë. Për të shmangur pasoja të rënda për përdoruesit dhe për të garantuar siguri më të mirë, këshillohet instalimi sa më shpejt i përditësimeve më të fundit të Windows dhe Office.

Tags: sulme kibernetike, dobësi zero-day, Microsoft Windows, Office malware, përditësime sigurie, SmartScreen bypass