近日，斯洛伐克知名的網(wǎng)絡(luò)安全解決方案提供商ESET發(fā)布了一則重要安全公告，披露了微軟將在2025年3月的例行“補(bǔ)丁星期二”更新中，針對Windows 10系統(tǒng)推出一項(xiàng)關(guān)鍵修復(fù)。此次修復(fù)聚焦于一個名為CVE-2025-24983的高危漏洞，該漏洞潛藏于Windows 10的Win32內(nèi)核子系統(tǒng)深處。

據(jù)ESET分析，CVE-2025-24983漏洞允許攻擊者在滿足復(fù)雜條件下，從低權(quán)限賬戶躍升至SYSTEM權(quán)限，這對系統(tǒng)的安全性構(gòu)成了嚴(yán)重威脅。值得注意的是，有跡象表明，早在2023年3月，已有黑客組織開始利用這一漏洞發(fā)起攻擊，他們通過名為PipeMagic的后門程序，實(shí)施了一系列可能導(dǎo)致軟件崩潰、執(zhí)行惡意代碼、權(quán)限提升或數(shù)據(jù)損壞的惡意行為。

更令人擔(dān)憂的是，CVE-2025-24983不僅影響Windows 10，還波及到已停止官方支持的Windows Server 2012 R2和Windows 8.1，以及仍在支持期內(nèi)的Windows Server 2016和特定版本的Windows 10（版本1809及更早）。這一廣泛的受影響范圍，無疑加劇了安全風(fēng)險的嚴(yán)峻性。

在同年3月的“補(bǔ)丁星期二”更新中，微軟還緊急修復(fù)了另外五個同樣被標(biāo)記為“正在被利用”的零日漏洞，包括兩個Windows NTFS信息泄露漏洞（CVE-2025-24984和CVE-2025-24991）、一個Windows Fast FAT文件系統(tǒng)驅(qū)動遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2025-24985）、一個Windows NTFS遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2025-24993），以及一個Microsoft管理控制臺安全功能繞過漏洞（CVE-2025-26633）。

鑒于這些漏洞的嚴(yán)重性和被實(shí)際利用的情況，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）迅速響應(yīng)，將這六大漏洞全部納入其“已知被利用漏洞目錄”，并緊急向聯(lián)邦文職行政分支（FCEB）機(jī)構(gòu)發(fā)出通知，要求它們在4月1日前完成所有相關(guān)漏洞的修復(fù)工作。CISA強(qiáng)調(diào)，這些漏洞已成為網(wǎng)絡(luò)攻擊的重要入口，對聯(lián)邦系統(tǒng)的安全構(gòu)成了重大威脅，因此，所有組織都應(yīng)將這些漏洞的修復(fù)工作置于優(yōu)先地位，以降低遭受攻擊的風(fēng)險。