CISA警告Windows关键漏洞遭主动利用

美国网络安全和基础设施安全局(CISA)发布紧急警报，警告一个正在被主动利用的Microsoft Windows漏洞，该漏洞对全球组织构成威胁。

该漏洞是Windows远程访问连接管理器(RasMan)服务中的访问控制不当问题，允许攻击者提升权限并控制目标系统。

行业研究人员指出，RasMan经常出现在Microsoft的安全更新中，但这次是首次被发现作为零日漏洞被利用。

正如Tenable高级研究工程师Satnam Narang向Krebs on Security所述：“虽然RasMan是补丁星期二的常客，自2022年1月以来已出现20多次，但这是我们首次看到它在野外作为零日漏洞被利用。”

从本地访问到网络入侵

CVE-2025-59230源于访问控制不当，具体归类于通用弱点枚举(CWE-284)。

此弱点允许具有有限访问权限的用户（通常是通过网络钓鱼或其他方法获得初始访问权限的用户）将权限提升到更高的系统级别。

这种提升可以使恶意行为者操纵核心系统文件、安装恶意软件或在网络设备间横向移动。

根据Microsoft的披露，此漏洞影响多个Windows版本，包括Windows 10、Windows 11和多个Windows Server版本。

该漏洞在通用漏洞评分系统(CVSS)3.1版本中的基础得分为7.8分，由于利用复杂度低且可能导致系统完全被控制，被评为高危严重级别。

安全研究人员强调，此攻击不需要高级的远程利用技能。

相反，它利用了Windows通过RasMan服务处理远程访问连接的方式，该服务管理虚拟专用网络(VPN)和拨号网络连接。

一旦被利用，攻击者可以将此漏洞用作更深层次网络渗透或数据外泄的跳板。

CISA警告风险

CISA于2025年10月15日将CVE-2025-59230添加到其已知被利用漏洞(KEV)目录中，反映了在野外主动利用的证据。

CISA要求所有联邦机构在2025年11月5日前修补此漏洞，以保持合规性并降低暴露风险。

CISA的警报警告称，未能解决此问题会使组织容易受到权限提升链、数据泄露和网络横向移动的攻击。

加强网络韧性的缓解策略

为解决CVE-2025-59230，Microsoft已在其2025年10月补丁星期二更新中发布了安全补丁。

CISA和Microsoft都敦促立即在所有受影响的系统上部署这些补丁。

组织应采用结合及时修补、访问控制和持续监控的分层防御策略。

应用补丁：优先安装Microsoft最新补丁，以解决漏洞并防止利用。

禁用不必要的服务：关闭远程访问连接管理器(RasMan)和其他未使用的远程访问功能，以减少攻击面。

强制身份验证：限制管理权限，分割用户角色，并要求所有特权账户和远程账户使用多因素认证(MFA)。

持续监控：使用端点检测工具和集中日志记录来识别异常权限提升或横向移动活动。

网络分段和访问控制：隔离关键资产，并通过防火墙、安全网关和零信任原则限制远程访问。

隔离或停用未修补系统：对于无法更新的系统，将其从网络断开连接或完全淘汰，以防止被攻陷。

采用这些缓解措施可通过降低成功利用的可能性和最小化潜在泄露的影响来增强组织的整体网络韧性。

对于CVE-2025-59230，访问控制不当和未修补系统的结合为利用创造了理想条件。

虽然该漏洞需要本地访问，但如果被忽视，可能迅速导致整个网络被控制。

CISA的警告强化了网络安全的一个关键原则：主动修补、严格的权限管理和持续监控对于网络韧性至关重要。