这个星期二(4月8日)是许多厂商发布4月例行更新的日子,微软、Adobe、SAP,以及多家厂商在这天为旗下产品进行修补,其中,微软在这次修补126个漏洞相当引起关注,因为数量是上个月的两倍多。
值得留意的是,其中已有被用于实际攻击行动的零时差漏洞CVE-2025-29824,微软威胁情报中心(MSTIC)与安全事件回应中心(MSRC)指出,骇客组织Storm-2460锁定有限数量的目标发动攻击。
【攻击与威胁】
上周资安业者ESET发布资安公告,他们在1月下旬修补由资安业者卡巴斯基通报的CVE-2024-11859,此为DLL循序搜寻挟持漏洞,影响该公司Windows版防毒软体,以及Exchange伺服器和SharePoint伺服器的防护系统,攻击者若是取得管理员权限,有机会借此载入恶意的DLL档案并执行,4.0版CVSS风险评为6.8。本周卡巴斯基也公布这项漏洞遭到利用的情况。
对于这项漏洞可能会带来的危险,ESET指出,攻击者有机会在特定资料夹植入恶意DLL程式库,并透过该厂牌命令列扫描工具ESET Command Line Scanner执行,使得骇客植入的程式库取代系统的正常版本。不过,他们也提及利用这项漏洞必须搭配特定条件,那就是攻击者必须事先取得管理员权限。
至于骇客利用漏洞的过程,卡巴斯基透露,这项弱点他们是在去年初发现,当时他们在调查中国骇客ToddyCat涉及的资安事故,骇客利用漏洞执行名为TCESB的复杂工具。
4月3日资安业者Ivanti发布资安公告,指出旗下的SSL VPN系统Connect Secure(ICS)存在重大层级的资安漏洞CVE-2025-22457,影响22.7R2.5以前的版本,值得留意的是,他们已经掌握有部分用户遭攻击的情况,隔日美国网路安全暨基础设施安全局(CISA)也将其列入已遭利用的漏洞列表(KEV)。
针对这项漏洞被用于攻击行动的情况,协助调查的资安业者Mandiant公布相关调查结果,他们看到中国骇客UNC5221于3月中旬开始利用这项弱点,得逞后便会在受害组织部署恶意程式载入工具TrailBlaze,以及后门程式BrushFire。
值得留意的是,仍有不少ICS系统尚未套用新版程式而曝险,Shadowserver基金会指出,他们在4月6日进行扫描,结果发现网际网路上有5,113台ICS伺服器尚未修补,美国、日本最多,分别有1,399、700台;值得留意的是,台湾有297台ICS尚未修补,比邻近的中国、韩国的250及242台都要来得多。
◆◆4月8日微软发布本月份例行更新(Patch Tuesday),修补126个资安漏洞,数量超过2月及3月(63、57个)的总和。从漏洞的类型来看,有49个权限提升漏洞、31个远端程式码执行(RCE)漏洞、17个资讯泄露漏洞、14个阻断服务(DoS)漏洞、9个安全功能绕过漏洞,以及3个能被用于欺骗的漏洞;而从漏洞的严重程度而言,有11个被评为重大层级,巧合的是,这些都是RCE漏洞。
值得留意的是,其中有一项零时差漏洞CVE-2025-29824,已被用于实际攻击行动。这项漏洞存在于通用事件记录档案系统(CLFS),为权限提升漏洞,起因是CLFS驱动程式具有记忆体释放后再存取使用(Use After Free,UAF)弱点,取得授权的攻击者有机会于本机提升权限为SYSTEM,CVSS风险为7.8。
针对这项漏洞被用于实际攻击行动的情况,微软威胁情报中心(MSTIC)与安全事件回应中心(MSRC)特别为此发布部落格文章,当中指出骇客组织Storm-2460锁定有限数量的目标,将此漏洞用于勒索软体攻击。
浏览器使用者都应该熟悉在所造访的网站点选某个连结时,该连结就会变色,目的是让使用者知道已点选过,改善使用者浏览网路的体验,然而这项机制却被有心人士用来窥探使用者的浏览历史记录,于是Google准备在最新的Chrome 136透过将记录分割,修补此种存在于浏览器产业长达23年的隐私漏洞。目前Google已于4月初的Beta版Chrome 136进行测试,Chrome 136正式版本预计于4月29日发布。
其他漏洞与修补