HackerNews 编译,转载请注明出处:
微软周二发布安全更新,修复了57个安全漏洞,其中包括6个已在野外被积极利用的零日漏洞。
在这57个漏洞中,6个被评为“严重”,50个为“重要”,1个为“低危”。修复的漏洞中,有23个涉及远程代码执行,22个与权限提升相关。
此外,微软还修复了其基于 Chromium 的 Edge 浏览器中的17个漏洞,其中一个是特定于浏览器的伪造漏洞(CVE-2025-26643,CVSS 评分:5.4)。
6个被积极利用的零日漏洞
- CVE-2025-24983(CVSS 评分:7.0)——Windows Win32 内核子系统的 Use-After-Free(UAF)漏洞,允许授权攻击者在本地提升权限。CVE-2025-24984(CVSS 评分:4.6)——Windows NTFS 信息泄露漏洞,攻击者可通过插入恶意 USB 设备,读取目标设备的部分堆内存。CVE-2025-24985(CVSS 评分:7.8)——Windows Fast FAT 文件系统驱动的整数溢出漏洞,允许未经授权的攻击者在本地执行代码。CVE-2025-24991(CVSS 评分:5.5)——Windows NTFS 越界读取漏洞,允许授权攻击者在本地窃取信息。CVE-2025-24993(CVSS 评分:7.8)——Windows NTFS 基于堆的缓冲区溢出漏洞,允许未经授权的攻击者在本地执行代码。CVE-2025-26633(CVSS 评分:7.0)——Microsoft Management Console(MMC)输入净化不当漏洞,允许未经授权的攻击者本地绕过安全功能。
发现并报告 CVE-2025-24983 的安全公司 ESET 透露,该漏洞最早于2023年3月在野外发现,并通过名为 PipeMagic 的后门程序传播至受感染主机。
ESET 解释称,该漏洞属于 Win32k 驱动中的 Use-After-Free 漏洞,在特定情况下,使用 WaitForInputIdle API 可能导致 W32PROCESS 结构被多次解引用,引发 UAF 攻击。要成功利用该漏洞,攻击者需要在竞争条件中占据优势。
PipeMagic 于2022年首次被发现,这是一种基于插件的木马程序,主要针对亚洲和沙特阿拉伯的目标。2024年底,该恶意软件曾伪装成 OpenAI ChatGPT 应用进行传播。
据卡巴斯基实验室 2024年10月的报告,PipeMagic 生成 16 字节的随机数组,以 \\.\pipe\1.<十六进制字符串> 的格式创建命名管道。该恶意软件会不断创建、读取并销毁该管道,以接收加密载荷和控制信号。通常,PipeMagic 依赖从命令与控制(C2)服务器下载的多个插件,而该服务器托管在微软 Azure 上。
Zero Day Initiative 指出,CVE-2025-26633 源自 MSC 文件处理方式的缺陷,允许攻击者绕过文件信誉保护,并在当前用户环境中执行代码。此漏洞的利用活动与名为 EncryptHub(又称 LARVA-208)的威胁组织有关。
安全公司 Action1 发现,攻击者可以将影响 Windows 核心文件系统的四个漏洞(CVE-2025-24985、CVE-2025-24993、CVE-2025-24984 和 CVE-2025-24991)进行组合利用,从而实现远程代码执行和信息泄露。这四个漏洞均由匿名报告。
Immersive 安全研究高级总监 Kev Breen 解释称,该攻击方法依赖于攻击者构造恶意的 VHD(虚拟硬盘)文件,并诱导用户打开或挂载它。虽然 VHD 主要用于存储虚拟机操作系统,但过去已有攻击者通过 VHD/VHDX 作为钓鱼攻击载体,以绕过杀毒软件检测。
Tenable 研究员 Satnam Narang 指出,CVE-2025-26633 是继 CVE-2024-43572 之后,第二个在野外被利用的 MMC 相关零日漏洞。而 CVE-2025-24985 则是自 2022年3月以来,Windows Fast FAT 文件系统驱动的首个被利用的零日漏洞。
目前尚不清楚这些漏洞的具体利用规模和攻击环境。鉴于其严重性,美国网络安全与基础设施安全局(CISA)已将这些漏洞列入“已知被利用漏洞”(KEV)目录,并要求联邦机构在 2025年4月1日前完成修补。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
