HackerNews 编译，转载请注明出处： 谷歌透露，2024年观察到75个在野利用的零日漏洞，较2023年的98个有所下降。 在这75个零日漏洞中，44%针对企业产品。其中多达20个漏洞出现在安全软件和设备中。 “浏览器和移动设备的零日漏洞利用量大幅下降，与去年相比，浏览器漏洞利用减少约三分之一，移动设备漏洞利用减少约一半，”谷歌威胁情报小组（GTIG）在提供给《The Hacker news》的报告中表示，“由多个零日漏洞组成的攻击链仍几乎完全（约90%）用于攻击移动设备。” 2024年被利用的零日漏洞中，微软Windows占22个，苹果Safari有3个，iOS有2个，安卓有7个，Chrome有7个，Mozilla Firefox有1个。安卓的7个零日漏洞中有3个存在于第三方组件中。 在企业软件和设备中被利用的33个零日漏洞中，有20个针对Ivanti、Palo Alto Networks和思科等厂商的安全和网络产品。 “安全与网络工具和设备设计用于连接广泛的系统和设备，需要高权限来管理产品及其服务，这使得它们成为威胁行为者寻求高效入侵企业网络的宝贵目标。”GTIG研究人员指出。 2024年共有18家不同企业供应商成为攻击目标，而2021年为12家，2022年17家，2023年22家。被攻击最多的公司包括微软（26个）、谷歌（11个）、Ivanti（7个）和苹果（5个）。 此外，75个漏洞中的34个零日漏洞利用可归因于六大威胁活动集群： 国家资助的间谍活动（10个）（例如CVE-2023-46805、CVE-2024-21887） 商业监控供应商（8个）（例如CVE-2024-53104、CVE-2024-32896、CVE-2024-29745、CVE-2024-29748） 非国家金融动机组织（5个）（例如CVE-2024-55956） 具有国家资助间谍和金融动机的组织（5个），全部来自朝鲜（例如CVE-2024-21338、CVE-2024-38178） 同时从事间谍活动的非国家金融动机组织（2个），全部来自俄罗斯（例如CVE-2024-9680、CVE-2024-49039） 谷歌表示，2024年11月发现乌克兰外交学院网站（online.da.mfa.gov[.]ua）存在恶意JavaScript注入，触发CVE-2024-44308漏洞实现任意代码执行。攻击者随后利用WebKit的Cookie管理漏洞CVE-2024-44309发起跨站脚本（XSS）攻击，最终收集用户Cookie以未授权访问login.microsoftonline[.]com。 谷歌还独立发现了针对Firefox和Tor浏览器的攻击链，该攻击链结合利用CVE-2024-9680和CVE-2024-49039突破Firefox沙箱，以提升权限执行恶意代码，为部署RomCom远控木马铺平道路。此前被ESET披露的该活动被归因于RomCom组织（又名Storm-0978、Tropical Scorpius等），谷歌将其追踪为CIGAR——兼具金融和间谍动机的双重威胁组织。 这两个漏洞还被另一个疑似金融动机的黑客组织作为零日漏洞利用。攻击者通过入侵合法的加密货币新闻网站作为水坑攻击平台，将访问者重定向到托管攻击链的恶意域名。 “零日漏洞利用继续以缓慢但稳定的速度增长，但我们也开始看到厂商缓解零日漏洞的工作初见成效，”GTIG高级分析师Casey Charrier在声明中表示，“例如针对历史高发产品的零日攻击有所减少，这得益于大型厂商投入的防护资源。同时，零日攻击正转向更多企业级产品，这要求更广泛的供应商提升主动安全措施。零日攻击的未来最终将取决于厂商能否有效遏制威胁行为者的目标。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员观察到，攻击者利用Craft CMS中两个新披露的关键漏洞（零日漏洞）入侵服务器并获取未授权访问。 Orange Cyberdefense SensePost于2025年2月14日首次观测到此类攻击，其通过链式利用以下漏洞实现入侵： CVE-2024-58136（CVSS评分：9.0）：Craft CMS使用的Yii PHP框架中“备用路径保护不当”漏洞，可被利用访问受限功能或资源（此为CVE-2024-4990的回归漏洞） CVE-2025-32432（CVSS评分：10.0）：Craft CMS内置图像转换功能中的远程代码执行（RCE）漏洞（已在3.9.15、4.14.15和5.6.17版本修复） 网络安全公司指出，CVE-2025-32432存在于允许站点管理员将图像转换为特定格式的内置功能中。 安全研究员Nicolas Bourras表示：“CVE-2025-32432的利用依赖于未认证用户可向负责图像转换的端点发送POST请求，且服务器会解析POST数据。在Craft CMS 3.x版本中，资产ID会在创建转换对象前被检查，而4.x和5.x版本则在创建后检查。因此，攻击者需找到有效资产ID才能在所有版本中成功利用此漏洞。” 在Craft CMS中，资产ID（Asset ID）指管理文档文件和媒体的唯一标识符。攻击者通过批量发送POST请求直至发现有效资产ID，随后执行Python脚本验证服务器漏洞状态，并从GitHub仓库下载PHP文件至服务器。 研究人员称：“2月10日至11日期间，攻击者通过Python脚本多次测试下载filemanager.php文件至Web服务器以改进攻击脚本。2月12日，该文件被重命名为autoload_classmap.php，并于2月14日首次投入使用。” 截至2025年4月18日，全球已发现约13,000个存在漏洞的Craft CMS实例，其中近300个确认遭入侵。 Craft CMS在公告中强调：“若在防火墙或Web服务器日志中发现向actions/assets/generate-transform端点发送的异常POST请求（请求体中包含__class字符串），则表明您的站点已被扫描探测。但此现象仅说明漏洞被探测，不意味着已遭入侵。” 若确认遭入侵，建议用户刷新安全密钥、轮换数据库凭证、重置用户密码（作为额外防护），并在防火墙层面拦截恶意请求。 此漏洞披露之际，Active! Mail零日栈溢出漏洞（CVE-2025-42599，CVSS评分：9.8）正被活跃用于攻击日本企业以实现远程代码执行。该漏洞已在6.60.06008562版本修复。 Qualitia在公告中警告：“若远程第三方发送特制请求，可能导致任意代码执行或拒绝服务（DoS）。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种名为DslogdRAT的新型恶意软件正通过利用Ivanti Connect Secure（ICS）中已修复的安全漏洞进行传播。该恶意软件与Web Shell在2024年12月期间通过零日漏洞CVE-2025-0282被植入日本多家机构的系统。JPCERT/CC研究员Yuma Masubuchi在周四发布的报告中指出：“攻击者当时利用该零日漏洞安装恶意软件。” CVE-2025-0282是ICS中的关键远程代码执行漏洞，Ivanti已于2025年1月初修复。该漏洞已被中文背景的网络间谍组织UNC5337用作零日漏洞，用于投递SPAWN恶意软件生态系统及DRYHOOK、PHASEJAM等工具，后两种恶意软件尚未关联到已知威胁组织。 JPCERT/CC和美国网络安全与基础设施安全局（CISA）发现，攻击者后续利用同一漏洞投递SPAWN的更新版本SPAWNCHIMERA和RESURGE。本月初，谷歌旗下Mandiant披露另一个ICS漏洞CVE-2025-22457被用于分发与中国黑客组织UNC5221关联的SPAWN恶意软件。 目前尚不确定使用DslogdRAT的攻击是否属于UNC5221操纵的SPAWN恶意软件活动。攻击链利用CVE-2025-0282部署Perl Web Shell，进而投递DslogdRAT等载荷。DslogdRAT通过套接字连接外联服务器发送系统信息，接收执行Shell命令、文件传输及代理劫持等指令。 威胁情报公司GreyNoise同时警告，过去24小时内针对ICS和Ivanti Pulse Secure（IPS）设备的可疑扫描活动激增9倍，涉及270多个独立IP地址；过去90天累计超过1000个IP。其中255个IP被判定为恶意，643个标记为可疑。恶意IP使用TOR出口节点，可疑IP关联小型托管商，主要来源国为美国、德国和荷兰。该公司表示：“此波扫描可能预示协同侦察及未来攻击准备，尽管尚未关联具体CVE，但类似峰值常出现在实际攻击前。”     消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司周三发布带外（out-of-band）操作系统更新，修复两个已被用于针对少量iOS设备的“极其复杂”攻击的安全漏洞。 这两个漏洞编号为CVE-2025-31200和CVE-2025-31201，分别被归类为代码执行漏洞和安全缓解措施绕过漏洞，影响iOS、iPadOS及macOS平台。苹果称已收到报告，确认这些漏洞被用于针对特定iPhone目标的高端攻击。 CoreAudio组件漏洞（CVE-2025-31200） 处理恶意构造的媒体文件中的音频流时可能触发代码执行。苹果确认该漏洞可能已在针对iOS设备特定个体的高度复杂攻击中被利用。此内存损坏问题通过改进边界检查修复。该漏洞由谷歌威胁分析小组（TAG）报告。 RPAC组件漏洞（CVE-2025-31201） 具备任意读写能力的攻击者可能绕过指针认证（Pointer Authentication）机制。苹果确认该漏洞可能已在针对iOS设备特定个体的高度复杂攻击中被利用。此问题通过移除漏洞代码修复。（注：指针认证是ARM架构中的安全功能，用于检测指针是否被篡改） 漏洞补丁已覆盖所有运行macOS Sequoia系统的设备，但苹果强调目前仅观察到少量针对iPhone的攻击实例。 依照惯例，苹果未公开实际攻击的技术细节或入侵指标（IOCs）。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁监测平台Shadowserver基金会报告称，超过16,000台置身于互联网的Fortinet设备被检测到感染了一种新型符号链接（symlink）后门，攻击者可借此获取对先前已遭入侵设备的敏感文件的只读访问权限。 此前，该平台曾报告14,000台设备受影响。目前，Shadowserver的Piotr Kijewski向BleepingComputer证实，该网络安全组织已检测到16,620台设备受此最新曝光的持久化机制影响。 上周，Fortinet警告客户称发现攻击者利用一种新型机制，在已修复漏洞但先前遭入侵的FortiGate设备上保留对根文件系统的远程只读访问权限。 Fortinet表示，此攻击并非利用新漏洞，而是与2023年至2024年的攻击行为相关。攻击者当时通过零日漏洞入侵FortiOS设备，并在启用SSL-VPN的设备上创建指向根文件系统的语言文件夹符号链接。由于启用SSL-VPN的FortiGate设备的语言文件可公开访问，攻击者可通过该文件夹持续获取根文件系统的只读权限（即使原始漏洞已被修复）。 Fortinet在声明中解释：攻击者利用已知漏洞对存在缺陷的FortiGate设备实施只读访问。其通过在SSL-VPN语言文件服务目录中创建连接用户文件系统与根文件系统的符号链接实现。该修改发生于用户文件系统内，因此未被检测到。 即使客户设备已升级修复原始漏洞的FortiOS版本，此符号链接可能仍残留，使攻击者能持续读取设备文件系统内的配置等文件。 本月，Fortinet开始通过邮件私下通知被FortiGuard检测到感染符号链接后门的FortiGate设备用户。 Fortinet已发布更新的AV/IPS特征库以检测并移除受感染设备中的恶意符号链接。最新固件版本也已更新检测与清除功能，并阻止内置Web服务器提供未知文件/目录访问。 若设备被检测为已入侵，攻击者可能已获取包含凭证的最新配置文件。因此，Fortinet建议管理员重置所有凭证，并遵循官方指南中的其他操作步骤。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软透露，一个现已修复的安全漏洞影响了 Windows 公共日志文件系统（CLFS），该漏洞被作为零日漏洞利用，用于针对少数目标的勒索软件攻击。 “目标包括美国信息技术（IT）和房地产行业的组织、委内瑞拉的金融行业、一家西班牙软件公司以及沙特阿拉伯的零售行业，”这家科技巨头表示。 相关漏洞是 CVE-2025-29824，这是一个 CLFS 中的权限提升漏洞，攻击者可利用其获得 SYSTEM 权限。微软在 2025 年 4 月的补丁星期二更新中修复了这一漏洞。 微软正在追踪这一活动以及 CVE-2025-29824 被利用后的情况，并将其命名为 Storm-2460，同时发现攻击者还利用了一种名为 PipeMagic 的恶意软件来交付漏洞利用程序和勒索软件载荷。 目前尚不清楚攻击中使用的具体初始访问向量。然而，观察到攻击者使用 certutil 工具从一个先前被攻陷的合法第三方站点下载恶意软件，以部署载荷。 该恶意软件是一个包含加密载荷的恶意 MSBuild 文件，解包后会启动 PipeMagic，这是一个自 2022 年以来在野外被检测到的基于插件的特洛伊木马。 值得一提的是，CVE-2025-29824 是继 CVE-2025-24983（一个 Windows Win32 内核子系统权限提升漏洞）之后，通过 PipeMagic 传递的第二个 Windows 零日漏洞。CVE-2025-24983 由 ESET 发现，并于上个月由微软修复。 此前，PipeMagic 还与利用另一个 CLFS 零日漏洞（CVE-2023-28252）的 Nokoyawa 勒索软件攻击有关。 “在我们归因于同一攻击者的其他攻击中，我们还观察到，在利用 CLFS 提权漏洞之前，受害者的机器已被一个名为‘PipeMagic’的自定义模块化后门感染，该后门通过 MSBuild 脚本启动，”卡巴斯基在 2023 年 4 月指出。 需要强调的是，Windows 11 24H2 版本不受此特定漏洞利用的影响，因为对 NtQuerySystemInformation 中某些系统信息类的访问被限制为具有 SeDebugPrivilege 的用户，而这类权限通常只有管理员级别的用户才能获得。 “漏洞利用针对的是 CLFS 内核驱动中的一个漏洞，”微软威胁情报团队解释道。“漏洞利用随后利用内存损坏和 RtlSetAllBits API 将漏洞利用进程的令牌覆盖为值 0xFFFFFFFF，从而为进程启用所有权限，这允许将进程注入到 SYSTEM 进程中。” 成功利用漏洞后，攻击者会通过转储 LSASS 内存来提取用户凭据，并使用随机扩展名加密系统中的文件。 微软表示，未能获得勒索软件样本进行分析，但指出加密后留下的勒索信中包含一个与 RansomEXX 勒索软件家族相关的 TOR 域。 “勒索软件攻击者重视被攻陷后的提权漏洞利用，因为这些漏洞可以让他们将初始访问权限（包括从商品恶意软件分发者手中接过的访问权限）提升为特权访问权限，”微软表示。“然后他们利用这些特权访问权限在环境中广泛部署和引爆勒索软件。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌发布了带外修复程序，以解决其 Windows 版 Chrome 浏览器中的一个高严重性安全漏洞，该漏洞已被利用，攻击目标是俄罗斯的组织。 该漏洞被追踪为 CVE-2025-2783，被描述为在 Windows 上的 Mojo 中“在未指定情况下提供了不正确的句柄”。Mojo 指的是一组运行时库，为跨平台的进程间通信提供机制。 按照惯例，谷歌并未透露有关攻击性质、攻击者身份以及可能的目标的更多技术细节。该漏洞已在 Windows 版 Chrome 134.0.6998.177/.178 中修复。 “谷歌已意识到有报道称 CVE-2025-2783 的利用程序存在于野外环境，”这家科技巨头在一份简短的公告中承认。 值得注意的是，CVE-2025-2783 是今年年初以来首个被积极利用的 Chrome 零日漏洞。卡巴斯基研究人员 Boris Larin 和 Igor Kuznetsov 因在 2025 年 3 月 20 日发现并报告了这一漏洞而受到赞誉。 这家俄罗斯网络安全厂商在其自身的公告中，将 CVE-2025-2783 的零日漏洞利用描述为技术复杂的目标攻击，表明高级持续威胁（APT）的特征。该活动被追踪为 Operation ForumTroll。 “在所有情况下，感染发生在受害者点击网络钓鱼邮件中的链接后，攻击者的网站使用 Google Chrome 网络浏览器打开，”研究人员表示。“无需进一步操作即可被感染。” “该漏洞的本质在于 Chrome 和 Windows 操作系统交叉点上的逻辑错误，允许绕过浏览器的沙箱保护。” 这些短寿命的链接据说是为目标量身定制的，间谍活动是此次行动的最终目标。卡巴斯基表示，恶意邮件包含据称来自合法科学和专家论坛 Primakov Readings 组织者的邀请。 网络钓鱼邮件针对的是俄罗斯的媒体机构、教育机构和政府组织。此外，CVE-2025-2783 被设计为与另一个促进远程代码执行的漏洞利用程序一起运行。卡巴斯基表示，他们无法获得第二个漏洞利用程序。 “到目前为止分析的所有攻击工件都表明攻击者具有高度复杂性，使我们能够自信地得出结论，一个国家赞助的 APT 组织是此次攻击的幕后黑手，”研究人员表示。 鉴于该漏洞正在被积极利用，建议使用基于 Chromium 的浏览器（如 Microsoft Edge、Brave、Opera 和 Vivaldi）的用户在补丁可用时尽快应用修复程序。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处: 名为 EncryptHub 的威胁组织利用了微软 Windows 中最近修复的安全漏洞作为零日漏洞，来投放包括后门和信息窃取器（如 Rhadamanthys 和 StealC）在内的多种恶意软件家族。 “在这次攻击中，威胁者操纵 .msc 文件和多语言用户界面路径（MUIPath），以下载并执行恶意载荷、维持持久性和从受感染系统中窃取敏感数据，”Trend Micro 研究员 Aliakbar Zahravi 在分析中表示。 所涉及的漏洞是 CVE-2025-26633（CVSS 评分：7.0），微软将其描述为 Microsoft Management Console（MMC）中的不正确中和漏洞，可能允许攻击者在本地绕过安全功能。该公司在本月初的 Patch Tuesday 更新中修复了这一漏洞。 Trend Micro 已将该漏洞利用命名为 MSC EvilTwin，并将疑似俄罗斯活动集群追踪为 Water Gamayun。该威胁组织还被称为 LARVA-208。 CVE-2025-26633 核心上利用了 Microsoft Management Console 框架（MMC），通过名为 MSC EvilTwin 加载程序的 PowerShell 加载程序执行恶意 Microsoft Console（.msc）文件。 具体来说，它涉及加载程序创建两个同名的 .msc 文件：一个干净文件和一个恶意文件，后者被放置在同一个位置但位于名为 “en-US” 的目录中。其想法是，当运行前者时，MMC 会意外地选择恶意文件并执行它。这是通过利用 MMC 的多语言用户界面路径（MUIPath）功能实现的。 “通过滥用 mmc.exe 使用 MUIPath 的方式，攻击者可以为 MUIPath en-US 配备恶意 .msc 文件，导致 mmc.exe 加载并执行恶意文件，而不是原始文件，且在受害者不知情的情况下进行，”Zahravi 解释说。 EncryptHub 还被观察到采用另外两种方法，利用 .msc 文件在受感染系统上运行恶意载荷： – 使用 MMC 的 ExecuteShellCommand 方法在受害者的机器上下载并执行下一阶段的载荷，这种方法此前由荷兰网络安全公司 Outflank 于 2024 年 8 月记录在案。 – 使用伪造的可信目录（如 “C:\Windows \System32”）来绕过用户账户控制（UAC），并投放名为 “WmiMgmt.msc” 的恶意 .msc 文件。 Trend Micro 表示，攻击链可能从受害者下载伪装成合法中国软件（如钉钉或 QQTalk）的数字签名 Microsoft 安装程序（MSI）文件开始，然后用于从远程服务器获取并执行加载程序。据说该威胁组织自 2024 年 4 月以来一直在试验这些技术。 “这场活动正处于积极发展阶段，它采用多种投递方法和定制载荷，旨在维持持久性、窃取敏感数据，然后将其外泄至攻击者的命令与控制（C&C）服务器，”Zahravi 说。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个影响微软Windows的安全漏洞未被修补，自2017年以来，一直被来自伊朗、朝鲜和俄罗斯的11个国家级赞助组织利用，作为数据盗窃、间谍活动和以经济利益为目的的行动的一部分。 这个零日漏洞被趋势科技的零日计划（ZDI）追踪为ZDI-CAN-25373，它允许攻击者利用精心制作的Windows快捷方式或壳链接（.LNK）文件，在受害者的机器上执行隐藏的恶意命令。 “这些攻击利用了.LNK文件中隐藏的命令行参数来执行恶意有效载荷，使检测变得复杂，”安全研究员彼得・吉尔纳斯和阿里亚克巴尔・扎哈瓦在与《黑客新闻》分享的分析中表示。“ZDI-CAN-25373的利用使组织面临数据盗窃和网络间谍活动的重大风险。” 具体来说，这涉及到用换行符（\x0A）和回车符（\x0D）填充参数，以逃避检测。 到目前为止，已经发现了近1000个利用ZDI-CAN-25373的.LNK文件，其中大部分样本与Evil Corp（Water Asena）、Kimsuky（Earth Kumiho）、Konni（Earth Imp）、Bitter（Earth Anansi）和ScarCruft（Earth Manticore）有关。 在这11个被发现滥用该漏洞的国家级赞助威胁行为者中，近一半来自朝鲜。除了在不同时间利用该漏洞外，这一发现还表明平壤的网络机构中存在跨合作。 遥测数据显示，位于美国、加拿大、俄罗斯、韩国、越南和巴西的政府、私人实体、金融机构、智库、电信服务提供商以及军事/国防机构已成为利用该漏洞攻击的主要目标。 在ZDI分析的攻击中，.LNK文件充当已知恶意软件家族的交付工具，如Lumma Stealer、GuLoader和Remcos RAT等。其中值得注意的是Evil Corp利用ZDI-CAN-25373分发Raspberry Robin。 微软方面将此问题定性为低严重性，并不打算发布修复程序。 “ZDI-CAN-25373是一个用户界面（UI）对关键信息的错误表示（CWE-451）的示例，”研究人员表示。“这意味着Windows用户界面未能向用户呈现关键信息。” “通过利用ZDI-CAN-25373，威胁行为者可以阻止最终用户查看与评估文件风险级别相关的执行命令的关键信息。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软周二发布安全更新，修复了57个安全漏洞，其中包括6个已在野外被积极利用的零日漏洞。 在这57个漏洞中，6个被评为“严重”，50个为“重要”，1个为“低危”。修复的漏洞中，有23个涉及远程代码执行，22个与权限提升相关。 此外，微软还修复了其基于 Chromium 的 Edge 浏览器中的17个漏洞，其中一个是特定于浏览器的伪造漏洞（CVE-2025-26643，CVSS 评分：5.4）。 6个被积极利用的零日漏洞 CVE-2025-24983（CVSS 评分：7.0）——Windows Win32 内核子系统的 Use-After-Free（UAF）漏洞，允许授权攻击者在本地提升权限。 CVE-2025-24984（CVSS 评分：4.6）——Windows NTFS 信息泄露漏洞，攻击者可通过插入恶意 USB 设备，读取目标设备的部分堆内存。 CVE-2025-24985（CVSS 评分：7.8）——Windows Fast FAT 文件系统驱动的整数溢出漏洞，允许未经授权的攻击者在本地执行代码。 CVE-2025-24991（CVSS 评分：5.5）——Windows NTFS 越界读取漏洞，允许授权攻击者在本地窃取信息。 CVE-2025-24993（CVSS 评分：7.8）——Windows NTFS 基于堆的缓冲区溢出漏洞，允许未经授权的攻击者在本地执行代码。 CVE-2025-26633（CVSS 评分：7.0）——Microsoft Management Console（MMC）输入净化不当漏洞，允许未经授权的攻击者本地绕过安全功能。 发现并报告 CVE-2025-24983 的安全公司 ESET 透露，该漏洞最早于2023年3月在野外发现，并通过名为 PipeMagic 的后门程序传播至受感染主机。 ESET 解释称，该漏洞属于 Win32k 驱动中的 Use-After-Free 漏洞，在特定情况下，使用 WaitForInputIdle API 可能导致 W32PROCESS 结构被多次解引用，引发 UAF 攻击。要成功利用该漏洞，攻击者需要在竞争条件中占据优势。 PipeMagic 于2022年首次被发现，这是一种基于插件的木马程序，主要针对亚洲和沙特阿拉伯的目标。2024年底，该恶意软件曾伪装成 OpenAI ChatGPT 应用进行传播。 据卡巴斯基实验室 2024年10月的报告，PipeMagic 生成 16 字节的随机数组，以 \\.\pipe\1.<十六进制字符串> 的格式创建命名管道。该恶意软件会不断创建、读取并销毁该管道，以接收加密载荷和控制信号。通常，PipeMagic 依赖从命令与控制（C2）服务器下载的多个插件，而该服务器托管在微软 Azure 上。 Zero Day Initiative 指出，CVE-2025-26633 源自 MSC 文件处理方式的缺陷，允许攻击者绕过文件信誉保护，并在当前用户环境中执行代码。此漏洞的利用活动与名为 EncryptHub（又称 LARVA-208）的威胁组织有关。 安全公司 Action1 发现，攻击者可以将影响 Windows 核心文件系统的四个漏洞（CVE-2025-24985、CVE-2025-24993、CVE-2025-24984 和 CVE-2025-24991）进行组合利用，从而实现远程代码执行和信息泄露。这四个漏洞均由匿名报告。 Immersive 安全研究高级总监 Kev Breen 解释称，该攻击方法依赖于攻击者构造恶意的 VHD（虚拟硬盘）文件，并诱导用户打开或挂载它。虽然 VHD 主要用于存储虚拟机操作系统，但过去已有攻击者通过 VHD/VHDX 作为钓鱼攻击载体，以绕过杀毒软件检测。 Tenable 研究员 Satnam Narang 指出，CVE-2025-26633 是继 CVE-2024-43572 之后，第二个在野外被利用的 MMC 相关零日漏洞。而 CVE-2025-24985 则是自 2022年3月以来，Windows Fast FAT 文件系统驱动的首个被利用的零日漏洞。 目前尚不清楚这些漏洞的具体利用规模和攻击环境。鉴于其严重性，美国网络安全与基础设施安全局（CISA）已将这些漏洞列入“已知被利用漏洞”（KEV）目录，并要求联邦机构在 2025年4月1日前完成修补。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文