微軟於 2025 年 10 月的 Patch Tuesday 發布本年度規模最大的安全更新,共修補 172 項漏洞、其中 6 項為零日漏洞,並確認 3 項已遭駭客實際利用。同時,Windows 10 正式進入終止支援(End of Support),這是該系統最後一次免費安全更新,象徵一個時代的結束。
三大零日漏洞持續遭利用
本月被確認遭駭客實際利用的三項零日漏洞如下:
- CVE-2025-24990:Windows Agere Modem Driver 權限提升漏洞
該漏洞存在於 Windows 內建的第三方 Agere Modem 驅動程式中,攻擊者可藉此提升至系統管理員權限。由於該驅動長期隨 Windows 系統預載,幾乎所有版本均受影響。微軟已於本次更新中直接移除該驅動,但警告相關傳真/數據機硬體將因此無法運作。
- CVE-2025-59230:Windows Remote Access Connection Manager(RasMan)提權漏洞
此漏洞存在於管理 VPN 與撥接連線的核心服務中,可讓攻擊者提權至 SYSTEM 等級,完全控制主機。這是自 2022 年以來首次出現 RasMan 服務遭實際利用的案例。
- CVE-2025-47827|IGEL OS Secure Boot 繞過漏洞
影響 Linux-based 的 IGEL OS(版本 11 以前),攻擊者可在未授權情況下繞過 Secure Boot 驗證、植入 rootkit。雖須具備實體操作條件,但對醫療、零售與工業等大量部署 IGEL 的環境仍具潛在風險。
高風險修補:ASP.NET Core、WSUS、Office
除三項零日外,資安社群亦關注數項高風險漏洞:
- CVE-2025-55315:ASP.NET Core 安全性繞過漏洞
CVSS 評分高達 9.9。攻擊者可透過合法驗證繞過安全限制、存取敏感資訊甚至導致伺服器當機。儘管微軟評估「不易被利用」,研究人員指出其影響範圍涵蓋多數外部 Web 應用環境。
- CVE-2025-59287:Windows Server Update Service(WSUS)遠端程式碼執行漏洞
允許未驗證攻擊者透過網路封包觸發反序列化攻擊,在伺服器上執行任意程式碼,被評為「wormable」等級。由於 WSUS 屬於受信任的內部更新機制,若遭濫用恐繞過多數 EDR 偵測。
- CVE-2025-59227、CVE-2025-59234:Microsoft Office Preview Pane 遠端程式碼執行漏洞
使用者僅需預覽惡意文件即可觸發攻擊,無須實際開啟檔案,風險極高。
Windows 10、Office 2016/2019 正式退場
此次更新同時宣告多項產品結束支援,包括:
- Windows 10
- Microsoft Office 2016/2019
- Exchange Server 2016/2019
微軟提供三項替代方案:
- 訂閱 Extended Security Updates (ESU) 方案延長更新(個人版用戶可免費一年)。
- 升級至 Windows 11 或採用 Microsoft 365 雲端服務。
- 轉換至開源替代平台,如 Linux Mint、LibreOffice。
專家建議:優先修補、確認驅動移除影響
根據 Trend Micro、Tenable、Immersive Labs 等資安研究單位的建議,企業應:
- 優先修補三項零日漏洞與 WSUS、ASP.NET Core 等高風險項目。
- 檢查內部系統是否受 Agere Modem 驅動移除影響,避免關鍵設備中斷。
- 在部署更新後執行全面相容性測試與端點偵測策略檢視。
延伸閱讀:微軟10月更新同時修補史上最嚴重 ASP.NET Core 漏洞與 Windows 本地連線錯誤