今天有两则零时差漏洞的消息相当引人关注,其中一则是去年底BeyondTrust资安事故新的调查发现,另一则与Windows的使用者图形介面(GUI)有关,由于这项漏洞传出已遭到中国骇客积极利用,使得后续发展特别值得留意。
值得留意的是,这项存在于使用者图形介面的漏洞,研究人员透露骇客利用的方式,是拿来执行同时具备隐藏及系统保护属性的档案,产生未知属性的ActiveX元件,究竟实际的情形如何,有待研究人员公布更多细节。
【漏洞与修补】
2月13日威胁情报业者ClearSky Cyber Security提出警告,他们发现Windows作业系统的图形介面(GUI)存在零时差漏洞(尚未登记CVE编号),虽然通报后微软评估为低风险弱点,但已出现遭中国骇客Mustang Panda积极利用的情况。
这项弱点涉及档案总管处理RAR压缩档的过程,由于微软在2023年10月开始对Windows 11 22H2加入相关功能,这代表曝险范围可能是执行Windows 11及Windows Server 2025的工作站电脑及伺服器。
ClearSky针对骇客如何利用这项弱点提出说明,指出攻击者可利用RAR档打包含有隐藏属性的档案,并透过命令列执行解压缩到特定资料夹。而这个存放解压缩档案的资料夹,不仅在档案总管因为隐藏属性看不到,就连使用者透过命令提示字元下达dir指令,也不会出现。
【漏洞与修补】
资安业者Rapid7表示,他们针对CVE-2024-12356进行分析,结果成功重现了另一个漏洞CVE-2025-1094,并指出这项漏洞存在于关联式资料库PostgreSQL,一旦遭到利用,攻击者就能在未经身分验证的情况下,远端执行任意程式码(RCE),CVSS风险评为8.1。根据相关调查结果,Rapid7认为,攻击者在利用CVE-2024-12356的过程里,触发了CVE-2025-1094而能发动RCE攻击。