CISA警示：KEV目录更新新增两个正被积极利用的漏洞

CISA更新KEV目录 新增两个正被积极利用的漏洞

美国网络安全与基础设施安全局（CISA）近日将两个新的漏洞添加至其已知被利用漏洞（KEV）目录，并指出这些漏洞已在野外被积极利用。此次更新于2026年2月20日发布，强调了联邦机构及各类组织尽快采取缓解措施的紧迫性。

漏洞技术细节

1. CVE-2024-21412（CVSS评分：8.1）—— Microsoft Windows Internet快捷方式文件安全功能绕过

   • 影响软件：Microsoft Windows
   • 漏洞类型：通过恶意Internet快捷方式（.URL）文件绕过安全功能
   • 利用途径：攻击者可精心构造特制的.URL文件，绕过「网络标记」（Mark of the Web, MotW）保护机制，使恶意脚本在无安全警告的情况下执行。
   • 影响：成功利用该漏洞可能导致以用户权限执行任意代码，进一步危及受影响系统。

2. CVE-2023-29360（CVSS评分：7.8）—— Microsoft流媒体服务代理提权漏洞

   • 影响软件：Microsoft Windows流媒体服务代理（Streaming Service Proxy）
   • 漏洞类型：本地权限提升
   • 利用途径：低权限攻击者在获取受影响系统访问权限后，可利用流媒体服务代理中的缺陷将权限提升至SYSTEM级别。
   • 影响：该漏洞可能使攻击者完全控制受感染主机，便于在网络中横向移动或维持持久性。

影响分析

这两个漏洞均已被积极利用，对未修补的系统构成重大风险。CVE-2024-21412尤为令人担忧，因其可能通过钓鱼或驱动下载攻击实现初始访问；而CVE-2023-29360则可与其他漏洞组合利用，实现系统完全入侵。根据CISA的约束性操作指令（BOD）22-01，联邦机构需在2026年3月13日前完成修复，但所有组织均应优先处理这些漏洞。

建议措施

• 立即应用补丁：组织应立即部署Microsoft针对CVE-2024-21412及CVE-2023-29360发布的官方补丁。
• 强化MotW保护：针对CVE-2024-21412，确保启用并正确配置「网络标记」（MotW）安全功能，以阻止恶意.URL文件。
• 监测利用行为：部署网络及终端检测规则，识别潜在的利用尝试，如异常进程执行或权限提升活动。
• 定期查阅KEV目录：定期访问KEV目录，及时了解正被利用的漏洞并优先修复。

CISA将这些漏洞纳入KEV目录，凸显了企业环境中主动漏洞管理的重要性。未能及时应对这些漏洞可能使组织面临高级威胁行为者的定向攻击。