行业新闻与博客

微软被迫针对另外四个零日漏洞发布安全更新，其中两个漏洞目前正受到积极利用。

该科技巨头的二月补丁星期二更新修复了超过 50 个 CVE，包括 22 个远程代码执行 (RCE) 漏洞、19 个特权提升 (EoP) 漏洞和两个安全功能绕过漏洞。

正在被积极利用的 CVE 包括 CVE-2025-21391，这是一个 Windows 存储 EoP 漏洞，CVSS 评分为 7.1。

“乍一看，它‘仅’允许删除目标文件，但真正的威力在于将其与代码执行相结合以提升权限。它不会对机密性构成威胁，但会严重损害完整性和可用性——如果关键数据被删除，服务器将陷入瘫痪，”Qualys 威胁研究部门 (TRU) 漏洞研究经理 Saeed Abbasi 解释道。

“从技术上讲，该漏洞利用了 Windows 中的任意文件 / 文件夹删除，允许攻击者删除关键系统项并以较弱的权限重新创建它。这会诱使 Windows 运行攻击者控制的内容，最终授予系统级访问权限。换句话说，不要将其视为一个小漏洞：它是完全控制系统的隐秘垫脚石。”

第二个被积极利用的零日漏洞是 CVE-2025-21418 - 另一个 EoP 漏洞，但这次是在 WinSock 的 Windows 辅助功能驱动程序 (AFD) 中。据 Action1 联合创始人 Alex Vovk 称，它适用于所有包含易受攻击的 AFD.sys 驱动程序的 Windows 版本，包括 Windows 10、Windows 11、Windows Server 2016 及更高版本。

他补充道：“成功利用该漏洞可获得系统权限，即 Windows 中的最高级别，允许攻击者安装程序、操纵数据、创建具有完全用户权限的账户以及修改系统配置和安全设置。”

“潜在的攻击路径包括通过社交工程或恶意软件获取初始访问权限，利用漏洞提升权限。如果与 RCE 漏洞结合使用，攻击者可以远程入侵系统、提升系统权限、禁用安全工具以逃避检测并执行多阶段攻击以渗透安全环境。”

已公开披露且尚未被实际利用的两个零日漏洞是：

• CVE-2025-21194 – Microsoft Surface 安全功能绕过漏洞，据 Microsoft 称，该漏洞与“统一可扩展固件接口 (UEFI) 主机内的虚拟机”有关。在某些硬件上，可能会绕过 UEFI 并破坏虚拟机管理程序和安全内核
• CVE-2025-21377 – NTLM 哈希泄露欺骗漏洞，可能允许远程攻击者伪装成合法用户登录