CISA 警示：Windows 内核漏洞（CVE-2026-12345）正被积极利用

CISA 将正被利用的 Windows 内核漏洞添加至 KEV 目录

美国网络安全与基础设施安全局（CISA）在确认有证据表明 CVE-2026-12345（Windows 内核权限提升漏洞）在野外被积极利用后，已将其添加至已知被利用漏洞（KEV）目录。该指令要求所有联邦民事执行部门（FCEB）机构在 2026 年 2 月 17 日 前完成漏洞修复。

技术细节

• CVE 编号：CVE-2026-12345
• 受影响组件：Windows 内核（所有受支持的 Windows 10、11 及 Server 2016/2019/2022 版本）
• 漏洞类型：权限提升（本地）
• CVSS 评分：7.8（高危）
• 利用途径：本地攻击，需用户交互（如执行恶意文件或社会工程学攻击）
• 补丁发布：微软已在 2026 年 1 月的补丁星期二更新（KB500XXX）中发布修复程序

该漏洞源于内存中对象的不当处理，允许攻击者以 SYSTEM 级权限 执行任意代码。尽管 CISA 未披露具体的威胁行为者或攻击活动，但将其纳入 KEV 目录表明该漏洞已被对手确认利用。

影响分析

• 对联邦机构的风险：《绑定操作指令（BOD）22-01》要求 FCEB 机构在三周内修补 CVE-2026-12345，将其视为政府网络的关键风险。
• 企业及关键基础设施：建议联邦范围外的组织立即应用补丁，因为权限提升漏洞常与其他攻击手段（如钓鱼、远程代码执行）结合，用于高级攻击场景。
• 利用可能性：本地权限提升漏洞对威胁行为者极具价值，可用于绕过安全控制、持久化驻留或部署勒索软件。

建议措施

1. 立即修补：尽快在所有受影响的 Windows 系统上应用微软 2026 年 1 月更新（KB500XXX）。
2. 优先保护关键资产：重点关注工作站、域控制器及处理敏感数据的服务器。
3. 监测利用行为：部署 EDR/XDR 解决方案，检测与 CVE-2026-12345 相关的异常进程执行或权限提升尝试。
4. 审查访问控制：限制本地管理员权限，减少后续攻击活动的攻击面。
5. 验证合规性：联邦机构需在 2 月 17 日截止日期前通过 CISA 的报告机制确认修复情况。

更多指导请参阅 CISA 的安全公告 或微软的安全更新指南。