补丁星期二：Windows 10终止支持给IT部门带来困境

Windows 10不再受支持，但这并不意味着它不受最新补丁星期二更新的影响

零日漏洞威胁旧版Windows系统

微软正式终止对Windows 10支持的日子恰逢补丁星期二更新，其中包含多个攻击者可能利用来针对旧版Windows操作系统的零日漏洞。

遗留驱动漏洞风险

CVE-2025-24990涉及一个微软已从Windows完全移除的遗留设备驱动程序。Immersive首席网络安全工程师Ben McCarthy警告说：“在Agere Modem驱动程序（ltmdm64.sys）中活跃利用的CVE-2025-24990显示了在现代操作系统中维护遗留组件的安全风险。”

“这个支持1990年代末和2000年代初硬件的驱动程序，早于当前的安全开发实践，并且多年来基本保持不变，”他表示，“内核模式驱动程序以最高系统权限运行，使其成为攻击者寻求提升访问权限的主要目标。”

McCarthy表示，威胁行为者正在利用此漏洞作为其操作的第二阶段。“攻击链通常始于攻击者通过常见方法（如网络钓鱼活动、凭据盗窃或利用面向公众应用程序中的不同漏洞）在目标系统上获得初步立足点，”他说。

微软的安全决策

McCarthy补充说，微软决定完全移除驱动程序而不是发布补丁，是对修改不受支持的第三方遗留代码相关风险的直接回应。“尝试修补此类组件可能不可靠，可能会引入系统不稳定性或无法完全解决漏洞的根本原因，”他表示。

通过从Windows操作系统中移除驱动程序，McCarthy说微软优先考虑了减少攻击面而不是绝对的向后兼容性。“通过移除易受攻击且过时的组件，这种特定漏洞利用的可能性为零，”他说，“该驱动程序带来的安全风险被认定大于继续支持其所服务的过时硬件的要求。”

McCarthy表示，这种方法表明有效的安全策略必须包括旧代码的生命周期管理，其中移除通常比修补更确定和安全。

TPM相关漏洞

另一个正在修补的零日漏洞涉及可信计算组（TCG）的可信平台模块。Rapid7首席软件工程师Adam Barnett指出，CVE-2025-2884漏洞涉及TPM 2.0参考实现，在正常情况下，这可能会被每个制造商在下游实现中复制。

“微软将其视为零日漏洞，尽管奇怪的是微软是TCG的创始成员，因此 presumably 在发布之前就知晓了这一发现，”他说，“Windows 11和更新版本的Windows Server收到补丁。对于较旧的Windows产品（如Windows 10和Server 2019），管理员收到的不是补丁，而是另一个隐含提醒，表明微软强烈希望每个人都升级。”

关键虚拟机逃逸漏洞

被归类为“严重”的补丁之一影响如此深远，以至于一些安全专家建议IT部门立即修补。McCarthy警告说，Microsoft图形组件中的CVE-2025-49708严重漏洞虽然被归类为“权限提升”安全问题，但具有严重的实际影响。

“这是一个完整的虚拟机逃逸，”他说，“这个CVSS评分为9.9的漏洞完全打破了客户虚拟机与其主机操作系统之间的安全边界。”

McCarthy敦促组织优先修补此漏洞，因为它使虚拟化的核心安全承诺无效。

“成功的利用意味着获得单个非关键客户虚拟机甚至低权限访问权限的攻击者可以突破并在底层主机服务器上直接以系统权限执行代码，”他说，“这种隔离失败意味着攻击者随后可以访问、操纵或销毁在同一主机上运行的每个其他虚拟机上的数据，包括关键任务的域控制器、数据库或生产应用程序。”