近日,斯洛伐克知名的网络安全解决方案提供商ESET发布了一则重要安全公告,披露了微软将在2025年3月的例行“补丁星期二”更新中,针对Windows 10系统推出一项关键修复。此次修复聚焦于一个名为CVE-2025-24983的高危漏洞,该漏洞潜藏于Windows 10的Win32内核子系统深处。
据ESET分析,CVE-2025-24983漏洞允许攻击者在满足复杂条件下,从低权限账户跃升至SYSTEM权限,这对系统的安全性构成了严重威胁。值得注意的是,有迹象表明,早在2023年3月,已有黑客组织开始利用这一漏洞发起攻击,他们通过名为PipeMagic的后门程序,实施了一系列可能导致软件崩溃、执行恶意代码、权限提升或数据损坏的恶意行为。
更令人担忧的是,CVE-2025-24983不仅影响Windows 10,还波及到已停止官方支持的Windows Server 2012 R2和Windows 8.1,以及仍在支持期内的Windows Server 2016和特定版本的Windows 10(版本1809及更早)。这一广泛的受影响范围,无疑加剧了安全风险的严峻性。
在同年3月的“补丁星期二”更新中,微软还紧急修复了另外五个同样被标记为“正在被利用”的零日漏洞,包括两个Windows NTFS信息泄露漏洞(CVE-2025-24984和CVE-2025-24991)、一个Windows Fast FAT文件系统驱动远程代码执行漏洞(CVE-2025-24985)、一个Windows NTFS远程代码执行漏洞(CVE-2025-24993),以及一个Microsoft管理控制台安全功能绕过漏洞(CVE-2025-26633)。
鉴于这些漏洞的严重性和被实际利用的情况,美国网络安全与基础设施安全局(CISA)迅速响应,将这六大漏洞全部纳入其“已知被利用漏洞目录”,并紧急向联邦文职行政分支(FCEB)机构发出通知,要求它们在4月1日前完成所有相关漏洞的修复工作。CISA强调,这些漏洞已成为网络攻击的重要入口,对联邦系统的安全构成了重大威胁,因此,所有组织都应将这些漏洞的修复工作置于优先地位,以降低遭受攻击的风险。
本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理!
文章来源:(ITBEAR科技资讯)
安世加为出海企业提供SOC 2、ISO27001、PCI DSS、TrustE认证咨询服务(点击图片可详细查看)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3836539.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论