点击上方蓝字关注我们吧~
微软在 2025 年 3 月的“补丁星期二”(Patch Tuesday)更新中修复了一个严重的 Windows 内核漏洞,该漏洞已被黑客在野外利用近两年。
该漏洞被追踪为 CVE-2025-24983,由网络安全公司 ESET 发现并报告。研究人员指出,自 2023 年 3 月以来,攻击者一直在利用这一漏洞,使其成为修复前持续时间最长的已知漏洞之一。
Windows 内核漏洞详情
该漏洞存在于 Windows Win32 内核子系统 中,被归类为 释放后重用(Use-After-Free, UAF) 漏洞。它允许低权限攻击者在无需用户交互的情况下提升至 SYSTEM 级别权限。
尽管该漏洞可能造成重大影响,但微软将其评级为“重要”(Important)而非“严重”(Critical),原因是其利用难度较高,攻击者需要成功利用竞争条件(race condition) 才能触发漏洞。
ESET 在其技术分析中指出:
“该漏洞存在于 Win32k 驱动程序 中。在使用
WaitForInputIdleAPI 触发特定场景时,W32PROCESS结构会被多次取消引用,导致释放后重用(UAF)问题。要触发此漏洞,攻击者必须成功利用竞争条件。”
漏洞利用与恶意软件
该漏洞被用于分发一个名为 PipeMagic 的高级后门(backdoor),该恶意软件最早于 2022 年被发现。
PipeMagic 特点:
-
插件化木马,能够窃取敏感数据,并为攻击者提供远程访问受害设备的能力;
-
通过创建特定格式的 命名管道(如
.pipe1.<hex string>)接收编码的恶意负载,并与攻击者的指挥控制(C2)服务器通信。
受影响的 Windows 版本
该漏洞主要影响较旧的 Windows 版本,包括 Windows Server 2012 R2 和 Windows 8.1(微软已停止支持的系统)。然而,一些较新的但仍然较老的 Windows 版本也受影响,例如 Windows Server 2016 和 Windows 10 1809 及更早版本。
受影响产品列表:
-
Windows 10(32 位和 64 位)
-
Windows 10 Version 1607(32 位和 64 位)
-
Windows Server 2008(SP2,包括 Server Core 安装)
-
Windows Server 2008 R2(SP1,包括 Server Core 安装)
-
Windows Server 2012(包括 Server Core 安装)
-
Windows Server 2012 R2(包括 Server Core 安装)
-
Windows Server 2016(包括 Server Core 安装)
漏洞风险评估
| 风险因素 | 详细信息 |
|---|---|
| 影响 | 权限提升、完全系统控制、执行任意代码 |
| 利用前提 | 需要本地身份验证、必须成功利用竞争条件、需要运行特制程序、无需用户交互 |
| CVSS 3.1 评分 | 7.0(重要) |
2025 年 3 月“补丁星期二”其他重要漏洞
本次补丁更新共修复了 57 个漏洞,其中 6 个是已在野外被利用的 0day 漏洞。其中,CVE-2025-24983 因其长期被滥用而格外引人关注。
其他重要漏洞包括:
-
CVE-2025-26633:微软管理控制台(MMC)中的安全功能绕过漏洞
-
CVE-2025-24985:Windows Fast FAT 文件系统驱动程序中的远程代码执行漏洞
-
CVE-2025-24993:Windows NTFS 文件系统中的远程代码执行漏洞
安全建议
使用受影响 Windows 版本的组织和个人应 立即安装安全更新 以防止攻击。
这起事件再次强调了内核级漏洞的长期威胁,以及及时更新安全补丁的重要性,即便是对于接近生命周期终点的系统也是如此。
安全研究人员警告,像 CVE-2025-24983 这样的权限提升漏洞,仍然是攻击者在受害网络中建立长期控制的关键工具。
免责声明:
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
原文始发于微信公众号(网安百色):微软修复了已被利用近两年的关键 Windows 内核漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论