Microsoft 披露了 Active Directory Domain Services 中存在的一个重大安全漏洞，该漏洞可能使攻击者将其权限提升至系统级别，从而有可能完全控制受影响的系统。

这个被追踪编号为 CVE-2025-29810 的漏洞，已作为 Microsoft 2025 年 4 月 “补丁星期二” 安全更新周期的一部分被修复。

安全研究人员将该漏洞归类为 “重要” 级别，其通用漏洞评分系统（CVSS）评分为 7.5，不过Microsoft  指出，目前在现实中利用该漏洞进行攻击的可能性似乎不大。

Windows Active Directory 域漏洞

该漏洞源于 Windows Active Directory 域服务中不当的访问控制机制，具体属于常见弱点枚举（CWE）中的 CWE-284 弱点分类。

根据 Microsoft 的安全公告，攻击者要成功利用该漏洞，需先在网络上拥有低级别的权限，然后才能尝试利用此漏洞。

攻击途径基于网络，但攻击复杂度较高，这意味着潜在攻击者在实施攻击前，需要收集特定于目标环境的信息，并对目标网络做好准备工作。

该漏洞的 CVSS 向量字符串为 “CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C”，表明这是一种网络攻击途径，攻击复杂度高，利用漏洞所需权限低，且无需用户交互。

该漏洞对保密性、完整性和可用性这三个安全方面均有影响，且在每个方面的评级均为 “高”。

以下是该漏洞的概要信息：

利用潜力

安全分析师指出，尽管该漏洞很严重，但由于利用它存在一定复杂性，Microsoft 将其可利用性归类为 “可能性较低”。

成功利用这一漏洞的攻击者可以将其权限提升至系统（SYSTEM）级别，基本上能够完全控制被入侵的系统。

该漏洞似乎涉及对 Active Directory 内部身份验证机制的操纵，不过 Microsoft  并未公布具体的技术细节，以免为潜在攻击者提供可乘之机。

Microsoft 已在其 4 月的安全更新周期中为大多数受影响的系统发布了补丁。然而，根据安全公告，适用于基于 x64 系统的 Windows 10 和 32 位系统的 Windows 10 的更新暂未立即推出，将 “尽快” 发布。

Digital Fortress Institute 的网络安全研究员 Jane Marshall 博士表示：“对于部署了Active Directory 的企业环境而言，这个漏洞存在重大风险。”

“尽管利用该漏洞的复杂度较高，但考虑到潜在影响巨大，各组织应优先进行补丁更新。”

对系统管理员的建议

安全专家建议系统管理员立即采取以下措施：

1.尽快为域控制器和成员服务器应用可用补丁。

2.监控网络流量，留意可疑的身份验证尝试。

3.在整个域环境中实施最小权限原则。

4.关注 Microsoft  即将为目前尚未有补丁的 Windows 10 系统发布的更新。

该漏洞是由安全研究员 Matthieu Buffet 发现并通过协调漏洞披露机制报告给 Microsoft 的。

Microsoft 已确认，在补丁发布之前，没有证据表明该漏洞已被公开披露或在攻击中被利用。

这一事件凸显了在企业目录服务中建立恰当访问控制机制的持续重要性，以及及时进行安全补丁更新的关键意义，尤其是对于像 Active Directory 域服务这样的核心基础架构组件而言。