微软僵尸漏洞死灰复燃，为犯罪分子和勒索软件团伙打开缺口

网络犯罪分子正在利用微软的四个安全漏洞发动攻击，其中一个漏洞早在14年前就已被修复，另一个则与近期的勒索软件活动存在关联。美国核心网络防御机构CISA（网络安全和基础设施安全局）于本周一正式宣布，要求联邦机构在两周内完成相关补丁修复工作。

此次被CISA纳入已知被利用漏洞（KEV）目录的四个漏洞分别为：

CVE-2025-60710：Windows系统中的一个链接跟随漏洞，可被用于提升权限。微软于2025年11月首次披露该漏洞，并于一个月后发布完整修复补丁。

CVE-2023-36424：Windows通用日志文件系统驱动中的一个权限提升漏洞，微软已于2023年11月发布修复补丁。

CVE-2023-21529：微软Exchange Server中存在的不受信任数据反序列化漏洞，允许已认证攻击者实现远程代码执行（RCE）。微软于2023年2月披露并修复了该漏洞。就在上周，微软威胁情报团队发出警告，一个以经济利益为驱动的犯罪组织"Storm-1175"正在利用该Exchange漏洞及另外15个漏洞，对多个组织发起攻击，最终窃取数据并部署Medusa勒索软件实施勒索。

CVE-2012-1854：微软Visual Basic for Applications中的一个不安全库加载漏洞，可被用于实现远程代码执行。微软于2012年7月发布初步修复补丁，并于同年11月推出第二次更新，彻底修复该漏洞。当时微软表示"已知晓针对该漏洞的有限定向攻击"。如今，这个近14年前就被发现和利用的漏洞，竟仍在实际攻击中频繁出现。

目前，我们已就上述四个CVE漏洞的利用范围及攻击来源向微软发送采访请求，如收到回应将及时更新报道。

CISA在其目录中将四个漏洞的勒索软件利用情况均标注为"未知"，但根据微软的说法，其中至少有一个漏洞（CVE-2023-21529）已被用于此类攻击。

CISA在将上述漏洞纳入目录时警告称："此类漏洞是恶意网络攻击者的常见攻击入口，对联邦政府信息基础设施构成重大风险。"CISA已设定4月27日为所有联邦机构完成补丁修复的最后期限。

同日，CISA还将两个Adobe漏洞纳入KEV目录：一个是Acrobat中被追踪编号为CVE-2020-9715的释放后使用漏洞，另一个是编号为CVE-2026-34621的原型污染漏洞，该漏洞同时影响Adobe Acrobat和Reader。后者已被攻击者作为零日漏洞利用长达数月，Adobe于上周末才正式发布修复补丁。

Q&A

Q1：CISA的已知被利用漏洞目录是什么？它有什么作用？

A：CISA的已知被利用漏洞（KEV）目录是美国网络安全和基础设施安全局维护的一份官方漏洞清单，专门收录已被攻击者在真实环境中利用的安全漏洞。一旦漏洞被纳入该目录，CISA会要求所有联邦机构在规定期限内完成补丁修复，以降低遭受网络攻击的风险。该目录也是企业和安全团队评估漏洞优先级的重要参考依据。

Q2：Storm-1175犯罪组织是如何利用CVE-2023-21529漏洞发动攻击的？

A：据微软威胁情报团队披露，Storm-1175是一个以经济利益为驱动的犯罪组织。该组织利用CVE-2023-21529等16个漏洞入侵目标组织系统，获取初始访问权限后，进一步窃取内部数据，并最终在受害者环境中部署Medusa勒索软件，对受害方实施勒索攻击。该漏洞存在于微软Exchange Server中，允许已认证攻击者远程执行任意代码。

Q3：CVE-2012-1854漏洞为何在被修复14年后仍然存在威胁？

A：CVE-2012-1854是微软Visual Basic for Applications中的不安全库加载漏洞，微软早在2012年就已发布完整修复补丁。然而时至今日，该漏洞仍出现在真实攻击案例中。这通常是因为部分组织长期未对系统进行更新维护，或运行着无法升级的老旧系统，导致已知漏洞长期暴露在外，给攻击者提供了可乘之机。