安全公告编号
MS-ISAC ADVISORY NUMBER: 2025-036
发布日期:2025/04/08
漏洞概述
微软产品中发现多个安全漏洞,其中最严重的漏洞可允许攻击者以登录用户权限执行远程代码。根据用户权限级别,攻击者可能安装程序、增删改数据或创建具有完全权限的新账户。系统权限较低的用户受影响程度小于管理员账户。
威胁情报
目前尚未发现这些漏洞在野利用的实例。
受影响系统
- Visual Studio Code
- Windows标准存储管理服务
- Windows本地安全认证(LSA)
- Windows NTFS文件系统
- Windows路由和远程访问服务(RRAS)
- Windows更新堆栈
- 22个其他核心组件(完整列表见正文)
- Microsoft Office全家桶(Word/Excel/SharePoint等)
- Azure本地集群
- Windows Defender应用控制(WDAC)
风险等级
| 用户类型 | 风险级别 |
|---|---|
| 大中型政府机构 | 高危 |
| 小型政府机构 | 中危 |
| 企业用户 | 高危 |
| 家庭用户 | 低危 |
技术细节
最严重漏洞存在于Windows内核权限验证模块,攻击者可通过特制网络包触发缓冲区溢出。其他漏洞涉及:
- 权限提升(3个)
- 信息泄露(2个)
- 安全功能绕过(1个)
完整漏洞列表请参考微软官方公告链接。
修复建议
-
立即打补丁
- 通过WSUS或Microsoft Update部署官方补丁
- 关键系统建议72小时内完成更新(M1051补丁策略)
-
权限控制
- 实施最小权限原则(M1026)
- 禁用默认管理员账户(Safeguard 4.7)
- 日常操作使用非特权账户(Safeguard 5.4)
-
终端防护
- 部署EDR解决方案(Safeguard 13.7)
- 启用行为检测(M1040)
-
安全意识
- 年度社会工程培训(Safeguard 14.2)
- 钓鱼攻击模拟演练