CISA警示:四个正被积极利用的漏洞纳入KEV目录
美国CISA将四个正被积极利用的漏洞纳入已知被利用漏洞(KEV)目录,涉及Microsoft SMB、Exchange及Outlook等产品,建议组织立即修补。
CISA扩充KEV目录,新增四个正被积极利用的漏洞
美国网络安全与基础设施安全局(CISA)近日将四个新漏洞添加至其已知被利用漏洞(KEV)目录,并指出这些漏洞已在野外被积极利用。此次更新于2026年2月17日发布,强调组织应紧急优先修补这些漏洞。
漏洞技术细节
新增的漏洞包括:
-
CVE-2008-0015 – Microsoft服务器消息块(SMB)协议实现中的缓冲区溢出漏洞,可导致远程代码执行(RCE),并获取系统级权限。由于针对未修补系统的持续攻击,这一历史漏洞再次浮出水面。
-
CVE-2024-21412 – Microsoft Windows Internet快捷方式文件安全功能绕过漏洞。攻击者可利用此漏洞绕过「Mark-of-the-Web」(MotW)保护机制,通过精心构造的
.url文件传递恶意负载。 -
CVE-2024-21410 – Microsoft Exchange Server中的权限提升漏洞,源于对cmdlet参数的验证不当。成功利用可使攻击者获取提升的权限,可能导致系统完全被攻陷。
-
CVE-2024-21413 – Microsoft Outlook中的远程代码执行漏洞,由特制电子邮件处理不当触发。攻击者可利用此漏洞在受害者用户会话上下文中执行任意代码。
影响分析
这些漏洞被纳入KEV目录,表明其已被威胁行为者(包括高级持续性威胁(APT)组织和勒索软件运营者)积极利用。运行未修补Microsoft产品(特别是Exchange Server、Outlook及旧版Windows系统)的组织面临以下风险:
- 通过RCE或权限提升实现未经授权的系统访问。
- 在网络内横向移动,导致数据泄露或勒索软件部署。
- 绕过安全控制(如MotW保护),实现隐蔽的恶意软件传递。
安全团队建议
根据强制操作指令(BOD)22-01,CISA要求联邦民事行政部门(FCEB)机构在2026年3月10日前完成这些漏洞的修补。私营部门组织也强烈建议:
- 立即应用补丁,优先修补面向互联网的Microsoft产品。
- 查阅CISA的KEV目录,获取更多上下文和缓解指南。
- 监控网络,关注与这些CVE相关的入侵指标(IoC),特别是异常的SMB流量(CVE-2008-0015)或可疑的
.url文件下载(CVE-2024-21412)。 - 实施最小权限访问并隔离关键系统,限制潜在漏洞利用的影响。
更多详情,请参阅CISA的官方警报。