四个漏洞,最老的那个补丁发布时iPhone 5还没上市。美国网络安全与基础设施安全局(CISA)本周一把它们全塞进"已知被利用漏洞目录",给联邦机构划了4月27日的最后期限。
时间线:从2012到2025,漏洞的"永生"密码
CVE-2012-1854,这个编号本身就是个时间胶囊。微软在2012年7月推了安全修复,11月补了第二刀才算彻底封死。当时Redmond的口径很克制:" aware of limited, targeted attacks"——知道有少量针对性攻击。13年过去,"少量"变成了"还在用"。
2023年的两个漏洞也没好到哪去。CVE-2023-21529是Exchange Server的反序列化漏洞,认证攻击者能远程执行代码。微软2023年2月修完,上周自家威胁猎人团队就抓到现场:一个叫Storm-1175的犯罪团伙正拿它当入口,搭配另外15个漏洞,最终投放Medusa勒索软件。
CVE-2023-36424藏在Windows日志文件系统驱动里,权限提升的老套路。CVE-2025-60710倒是新鲜——Windows的链接跟随漏洞,去年11月披露,12月修完,现在已经被CISA盯上。
四个漏洞里,CISA对勒索软件使用的标注全是"unknown"。但微软自己承认,至少CVE-2023-21529已经被勒索团伙玩过了。
Adobe的周末补丁:被利用数月的零日
同一天进目录的还有两个Adobe漏洞。CVE-2020-9715是Acrobat的释放后使用(use-after-free)漏洞,2020年的老面孔。CVE-2026-34621更棘手——原型污染(prototype pollution)漏洞,影响Acrobat和Reader,被当成零日漏洞利用了数月,Adobe上周末才放出补丁。
零日被利用数月才修,这个节奏放在2026年依然成立。
CISA的警告:联邦企业的"显著风险"
CISA的原话是:"These types of vulnerabilities are frequent attack vectors for malicious cyber actors and pose significant risks to the federal enterprise." 这类漏洞是恶意攻击者的常用向量,对联邦机构构成显著风险。
翻译一下:攻击者懒得找新洞,旧洞够用了。
联邦机构的补丁期限是4月27日,两周窗口。对普通企业,CISA的建议是"尽快"——但没有强制力,只有目录本身的威慑。
微软这边,我们问了漏洞利用的范围和攻击者身份,还没收到回复。
漏洞经济学:为什么14年前的洞还在营业
一个2012年的VB漏洞能活到2026年,背后是一套清晰的成本计算。攻击者端:研究新漏洞需要投入,旧漏洞的利用链成熟、文档齐全、工具现成。防御者端:遗留系统、兼容性顾虑、补丁管理流程的滞后,让"已知"不等于"已修"。
Storm-1175的操作手册很典型——不追求单点突破,而是用CVE-2023-21529打头阵,再串联15个其他漏洞。这种"漏洞链"思维,让单个补丁的价值被稀释。
Medusa勒索软件的投放路径也说明问题:初始访问→数据窃取→加密勒索。Exchange Server作为邮件中枢,一旦被拿下,横向移动的跳板天然充足。
Adobe的CVE-2026-34621被利用数月才修补,则暴露了另一个盲区。原型污染这类漏洞在JavaScript生态里讨论较多,但在PDF阅读器里的利用链,防御方的检测和响应明显慢了一拍。
补丁的半衰期可能比放射性元素还长。2012年的修复、2023年的修复、2025年的修复,在2026年的攻击流量里依然共存。CISA的目录越滚越长,已知被利用漏洞的数量曲线,某种程度上就是攻击者"库存周转率"的镜像。
联邦机构的4月27日死线,是行政命令的刚性约束。但企业网络的补丁覆盖率,从来不是靠目录能解决的。微软和Adobe的漏洞通告、CISA的预警、安全厂商的威胁情报,信息足够多,执行永远是短板。
我们还在等微软的回复。一个合理的问题是:当14年前的漏洞和上个月的新漏洞并列出现在同一份攻击报告里,补丁管理的优先级算法,到底该怎么写?
热门跟贴