微軟發布 2025 年 4 月安全性更新,
修補了其軟體產品中共 134 個漏洞,其中包含 1 個已遭惡意利用的零時差漏洞。此次更新修補了 11 個「重大(Critical)」等級的遠端程式碼執行漏洞、112 個重要(Important)等級漏洞,及 2 個為低(Low)等級漏洞。
各類漏洞分類統計如下:
- 49 個權限提升漏洞
- 9 個安全功能繞過漏洞
- 31 個遠端程式碼執行漏洞
- 17 個資訊洩露漏洞
- 14 個阻斷服務漏洞
- 3 個欺騙漏洞
此外,微軟也修補了其 Chromium 架構 Edge 瀏覽器中發現的 22個漏洞,這些漏洞都是在上個月的例行性修補更新之後才被發現的。
遭駭客積極利用的零時差漏洞
本次更新中遭駭客積極利用的零時差漏洞為:CVE-2025-29824-Windows 通用日誌檔案系統驅動程式權限提升漏洞(CVSS風險評分:7.8)。CLFS 為 Windows 核心層級元件,負責管理各項服務和應用程式的日誌。此漏洞源於使用後釋放(use-after-free)問題,使擁有一般權限的攻擊者能夠在本機上提升系統權限。
微軟指出,Storm-2460 駭客組織正在積極利用 CVE-2025-29824 漏洞。該組織成功入侵系統後,利用此漏洞提升權限,並在受害者網路中部署勒索軟體。攻擊目標涵蓋多個國家的企業,包括美國的資訊科技與房地產企業、委內瑞拉的金融機構、沙烏地阿拉伯的零售業者,以及一家西班牙軟體公司。微軟在部落格中強調,為了加強對抗勒索軟體攻擊的防護,強烈建議各組織優先安裝針對權限提升漏洞的安全性更新。
根據海外資安專家指出,
CLFS 漏洞在 Patch Tuesday 修補程式中頻繁出現。自 2022 年以來,微軟已修補了 32 個 CLFS 相關漏洞,年均修補量為 10 個,其中 6 個已遭駭客利用。最近一次修補的零時差漏洞是 2024 年 12 月的 CVE-2024-49138。值得注意的是,CVE-2025-29824 為該元件中第 六個遭濫用的權限提升漏洞(自 2022 年起)。先前的漏洞包括 CVE-2022-24521、CVE-2022-37969、CVE-2023-23376、CVE-2023-28252 和 CVE-2024-49138,而這些漏洞的 CVSS 風險評分均為 7.8。
資安工程師評估,此漏洞對組織構成重大風險,因為駭客能將一般使用者權限提升至系統管理員等級。駭客只要取得初始存取權(可能透過釣魚攻擊、惡意程式或遭竊的帳密),就能利用此漏洞繞過權限限制。此外,攻擊者可藉此植入惡意程式、關閉警報系統,並在企業網路中進行橫向移動。
其他值得注意的權限提升漏洞
資安專家指出,本次更新中其他值得關注的權限提升漏洞有三個:
Windows 安裝程式中的 CVE-2025-27727(CVSS風險評分:7.8)、
Microsoft Office 中的 CVE-2025-29792(CVSS風險評分:7.3),以及
DirectX 圖形核心的 CVE-2025-29812(CVSS風險評分:7.8)。這些漏洞皆可讓攻擊者取得系統層級權限。微軟將它們列為「重要」而非「重大」等級,但由於這些漏洞具有攻擊複雜度低、所需權限低,且無需使用者互動等特性,因此被評估為較容易遭到攻擊的弱點。
資安研究員指出,攻擊者在成功入侵系統後,需要提升權限才能執行更多進階操作,如在系統間橫向移動。這正說明了為何權限提升漏洞在目標性攻擊中如此普遍,也解釋了組織為何必須優先防範此類漏洞。
本文轉載自 DarkReading、TheHackerNews、BleepingComputer。