美国网络安全与基础设施安全局 (CISA) 周一将其“已知被利用漏洞”(KEV) 名录扩大,新增了四个微软漏洞,并命令联邦机构必须在 4 月 27 日前完成补丁修复。
该名单涵盖了从近期发现的漏洞到微软早在 2012 年就已修复的陈年漏洞。CISA 警告称,这些漏洞常被攻击者用作攻击媒介,对联邦机构构成了重大风险。
其中一个漏洞为 CVE-2023-21529,涉及 Microsoft Exchange Server 的反序列化问题。微软威胁猎人团队近期警告称,犯罪组织 Storm-1175 正利用该漏洞入侵组织,旨在窃取数据并部署 Medusa 勒索软件。
陈年漏洞在活跃攻击中卷土重来
最令人震惊的是 CVE-2012-1854,这是一个存在于 Microsoft Visual Basic for Applications 中的不安全库加载漏洞。尽管微软早在 2012 年 11 月就发布了针对该漏洞的完整补丁,但目前该漏洞仍被用于活跃的攻击活动中。
其他新增至 KEV 名录的漏洞还包括:允许权限提升的 Windows 符号链接跟踪漏洞 (CVE-2025-60710),以及 Windows Common Log File System 驱动程序中的漏洞 (CVE-2023-36424)。
尽管 CISA 表示目前尚不清楚这四个漏洞在勒索软件攻击中的具体用途,但该机构确认 Exchange Server 漏洞与勒索软件活动有关。虽然微软已针对较新的漏洞发布了补丁,但 CISA 的这项强制指令旨在为针对未修复联邦系统的攻击者“堵住漏洞”。
CISA 周一还更新了其名录,新增了两个 Adobe 漏洞。其中包括 Acrobat 中的一个“释放后使用”(use-after-free) 漏洞 (CVE-2020-9715),以及一个原型污染漏洞 (CVE-2026-34621);后者在经历了数月的零日漏洞利用后,影响了 Acrobat 和 Reader 两个产品。
