微軟 2025 年第一個月發布首波資安更新,共修補了 159 個資安漏洞,其中包含 8 個零時差漏洞,而當中 3 個已遭駭客積極攻擊。此次更新為微軟史上規模最大的資安例行修補包(遠超過 2024 年 1 月僅修補 49 個 CVE 的情況),值得注意的是,其中 3 個漏洞是由 AI 平台所發現。
微軟公布的漏洞中,10 個被評為重大等級,其餘則為重要等級。此次修補程式涵蓋多項微軟技術,包括 Windows 作業系統、Microsoft Office、.NET、Azure、Kerberos 和 Windows Hyper-V 等。這些漏洞包含 20 多個遠端程式碼執行(RCE)漏洞、相近數量的權限提升漏洞,以及多種阻斷服務(DoS)、安全性繞過、偽造和資訊洩露等漏洞。
目前遭到利用的零時差漏洞包括:
CVE-2025-21333(緩衝區溢位漏洞)、
CVE-2025-21334 和
CVE-2025-21335(釋放後使用漏洞)。這些漏洞可讓攻擊者在受影響的 Windows 及 Windows Server 系統上將權限提升至系統層級,並影響 Windows Hyper-V 的 NT 核心元件,而該元件負責管理虛擬機器與主機作業系統間的通訊。
微軟將這三個漏洞的 CVSS 評分定為 7.8 分(滿分 10 分)。然而,由於駭客已在積極利用這些漏洞,企業組織應立即採取修補行動。資安公司提醒,不應僅以 7.8 的 CVSS 評分來判斷其嚴重性,因為 Hyper-V 在現代 Windows 11 作業系統中扮演核心角色,且負責支援諸多重要的資安功能。
其他五個已公開但未被利用的零時差漏洞
微軟在一月份的更新中修補了另外五個已公開但尚未遭到駭客利用的零時差漏洞。
其中三個影響 Microsoft Access 的漏洞可導致遠端程式碼執行,分別為:CVE-2025-21186(CVSS 評分:7.8/10)、CVE-2025-21366(CVSS 評分:7.8/10)以及CVE-2025-21395,而這些漏洞是由 AI 漏洞掃描平台 Unpatched.ai 所發現。資安公司 Tenable 的資深研究工程師指出,在 AI 自動化漏洞偵測備受矚目的趨勢下,該平台成功發現微軟產品中的漏洞極具意義。這雖是 2025 年的首例,但必定不會是最後一例。
剩下兩個已公開但尚未遭利用的零時差漏洞為:Windows App Package Installer 中的 CVE-2025-21275(CVSS 評分:7.8/10)以及 Windows Themes 中的 CVE-2025-21308。由於這兩個漏洞都可讓攻擊者將權限提升至系統層級,因此需要優先修補。
其他重大漏洞
除了零時差漏洞外,此次更新中還有數個需要高度關注的重大資安漏洞。其中最嚴重的三個漏洞皆獲得近乎最高評分(9.8分,滿分10分):
- CVE-2025-21311:Windows NTLMv1漏洞
- CVE-2025-21307:Windows可靠多點傳輸驅動程式中的未授權遠端程式碼執行漏洞
- CVE-2025-21298:Windows OLE中的任意程式碼執行漏洞
資安工程師解釋,CVE-2025-21311 被評為重大等級的主要原因是其極高的危險性。此漏洞特別令人擔憂,因為攻擊者能夠直接從網際網路對受害主機發動遠端攻擊。更嚴重的是,攻擊者無需具備特殊技術,就能對所有受影響的系統重複使用相同的攻擊手法。
CVE-2025-21307 是一個記憶體釋放後再使用(Use-after-free)漏洞,主要影響使用實用通用多點傳播(PGM)協定的企業組織。資安工程師指出,未經授權的攻擊者只需向伺服器發送惡意封包即可觸發此漏洞。攻擊成功後,攻擊者將獲得系統核心層級的存取權限。因此,使用該協定的組織必須立即安裝微軟的修補程式。
第三個高危險性漏洞 CVE-2025-21298 是一個遠端程式碼執行漏洞,攻擊者較可能透過電子郵件而非網路來利用它。由於 Microsoft Outlook 預覽窗格也是可能的攻擊途徑,因此這被歸類為遠端攻擊。建議使用者考慮以純文字模式閱讀電子郵件,以降低此類漏洞的風險。
本文轉載自 HelpNetSecurity、DarkReading。