微软修补“可蠕虫”的 Windows 漏洞和文件删除零日漏洞
微软最新推出的补丁星期二向 Windows 用户发出了可怕的警告:两个被积极利用的零日漏洞已被曝光,其中一个漏洞可让攻击者从目标系统中删除关键文件。
该公司已针对 Windows 和相关应用程序中至少 55 个已记录的漏洞发布了紧急安全修复程序,包括 Windows Storage、WinSock 和 Microsoft Excel 中的严重漏洞。其中,Windows 轻量级目录访问协议 (LDAP) 中的远程代码执行 (RCE) 漏洞被称为“蠕虫”,引发了人们对广泛利用的担忧。
以下是您需要了解的有关这些威胁的信息以及为什么立即修补至关重要。
目录
零日文件删除漏洞(CVE-2025-21391)
此次更新解决的最令人担忧的漏洞之一是 CVE-2025-21391,这是 Windows 存储中的一个特权提升漏洞,允许攻击者删除受害者系统上的文件。这可能导致严重中断、系统不稳定甚至服务中断——对个人用户和企业来说都是严重威胁。
由于该漏洞已被积极利用,Windows 用户应立即应用补丁以避免潜在的攻击。
WinSock 漏洞授予系统权限(CVE-2025-21418)
另一个关键零日漏洞 CVE-2025-21418 影响 WinSock 的 Windows 辅助功能驱动程序。如果成功利用该漏洞,攻击者将获得系统级权限,从而几乎完全控制受影响的设备。
微软已将此漏洞列为高优先级威胁,敦促管理员立即部署补丁,以最大限度地降低受到攻击的风险。
一个“可蠕虫”的远程代码执行漏洞(CVE-2025-21376)
此次更新中最令人担忧的漏洞之一是 CVE-2025-21376,这是 Windows 轻量级目录访问协议 (LDAP) 中的远程代码执行 (RCE) 漏洞。
此漏洞允许未经身份验证的攻击者向易受攻击的 LDAP 服务器发送特制请求,从而导致缓冲区溢出,进而可用于远程代码执行。安全专家警告称,此漏洞可感染蠕虫,这意味着它可用于在无需用户交互的情况下在网络上自我传播。
据ZDI(零日计划)称,使用LDAP服务器的组织应紧急测试并部署补丁,以防止潜在的大规模攻击。
Microsoft Excel 远程代码执行(CVE-2025-21387)
Microsoft Excel 用户也面临风险,因为 CVE-2025-21387 是一个可通过预览窗格利用的远程代码执行漏洞。这意味着无需用户交互 — 只需在预览窗格中打开恶意文件即可触发漏洞。
为了彻底缓解这种威胁,微软发布了多个补丁,必须全部安装这些补丁才能确保完全受到保护。
其他值得注意的漏洞
微软还解决了其他几个重大安全漏洞,包括:
- CVE-2025-21194 – 影响 Microsoft Surface 的功能绕过漏洞。
- CVE-2025-21377 - NTLM Hash 中的欺骗漏洞,可能允许攻击者窃取用户的 NTLMv2 哈希并以该用户的身份进行身份验证。
微软缺乏 IOC,让防御者陷入黑暗
尽管这些漏洞非常严重,但微软并未提供入侵指标 (IOC) 或遥测数据来帮助安全团队检测主动攻击行为。这种缺乏透明度的情况让防御者更难确定自己是否受到了攻击。
你现在应该做什么
- 立即应用所有可用补丁。攻击者已经在利用其中一些漏洞,因此及时更新至关重要。
- 监控网络活动中是否存在可疑的 LDAP 流量。可感染蠕虫的 LDAP 漏洞可能会被用于大规模攻击。
- 禁用 Microsoft Excel 中的预览窗格。这个简单的步骤可以帮助降低零点击攻击的风险。
- 使用端点保护和安全监控工具来检测权限提升或未经授权的文件删除。
随着网络威胁日益复杂,及时了解补丁星期二更新比以往任何时候都更加重要。延迟这些修复可能会导致您的系统容易受到危险漏洞、数据丢失和潜在的勒索软件攻击。
微软用户应该立即采取行动——在攻击者发起攻击之前。