微軟「史上最大修補」!Windows 175項資安漏洞大爆發
回到上一頁

微軟「史上最大修補」!Windows 175項資安漏洞大爆發

2025-10-16
微軟於2025年10月發布的「修補程式星期二」(Patch Tuesday)安全更新,數量之龐大堪稱近年之最,為全球系統管理員帶來一場「萬聖節驚魂」。這次更新共修復了175個通用漏洞披露(CVE),其中包含兩枚已被駭客積極利用的零日漏洞,以及多個可能被攻擊者盯上的高風險權限提升與遠端程式碼執行(RCE)漏洞。更值得注意的是,這次修正檔的發布,也同時標誌著Windows 10作業系統的常規支援正式終止,對於全球近四成仍在使用該系統的用戶來說,資安風險將大幅攀升。
 
 

漏洞數量創新高:年度總數已超越去年

 
資安研究機構Tenable高級研究工程師Satnam Narang指出,微軟這次的更新數量是該機構自2017年開始記錄以來的最大規模。本月釋出的175個CVE,使微軟今年至今發布的獨特漏洞總數已達到1,021個正式超越了2024年全年1,009個的總和。這還不包括微軟在「修補程式星期二」以外發布的緊急修正檔
 
這些漏洞涵蓋了微軟旗下多款產品,包括Windows作業系統、Office、Azure、Exchange Server、Visual Studio等,漏洞類型則橫跨了遠端程式碼執行(RCE)、權限提升(EoP)、資訊竊取、阻斷服務(DoS)以及安全功能繞過等多個類別。面對如此龐大的漏洞數量,資安專家呼籲IT團隊必須採取高度優先的修補策略。
 
 

零日威脅迫在眉睫:兩大權限提升漏洞遭利用

 
在所有漏洞中,最引人關注的無疑是兩個已被攻擊者積極利用的**「零日漏洞」,它們都屬於權限提升**(EoP)類型,可能讓駭客在取得系統初步存取權後,將權限一舉提升至管理員層級:
  1. CVE-2025-59230 (CVSS 7.8):此漏洞存在於Windows遠端存取連線管理員(Windows Remote Access Connection Manager)中。Action1總裁Mike Walters評估,該漏洞可能與服務在處理低權限用戶指令時缺乏適當身份驗證有關。由於漏洞利用相對容易,即使是技術能力一般的駭客也能發動攻擊。
  2. CVE-2025-24990 (CVSS 7.8):此漏洞存在於Agere Windows數據機驅動程式,這是一個隨所有受支援Windows版本系統原生提供的第三方驅動程式。駭客可利用此缺陷獲取系統級別權限,即使數據機未被主動使用也存在風險。微軟的解決方案非常果斷:已將該驅動程式(ltmdm64.sys)從Windows作業系統的累積修補程式中移除,並建議用戶移除對此硬體的任何現有依賴。
此外,另一個已公開披露且已有概念驗證(PoC)漏洞的Agere數據機服務漏洞CVE-2025-24052 (CVSS 7.8),同樣是EoP問題,也需要立即關注。Tenable的Satnam Narang指出,此修補程式的解決方法是移除相關驅動程式
 
 

高優先級RCE與安全功能缺陷

 
除了零日漏洞外,微軟這次更新中還有一些評分極高且危險性大的漏洞,系統管理員應列為優先處理事項:
  • Windows Server Update Service (WSUS) RCE: CVE-2025-59287 (CVSS 9.8) 是一個影響Windows Server Update Service的RCE漏洞。WSUS是企業用於集中分發和管理更新與修補程式的核心機制。Action1的Walters警告,成功利用此漏洞可能導致「修補程式基礎設施的徹底淪陷、向受管系統部署惡意更新、橫向移動以及創建持久性後門」,微軟已將其標記為「更有可能被利用」的漏洞。
  • ASP.Net Core 安全功能繞過: CVE-2025-55315 (CVSS 9.9) 是一個影響ASP.Net Core框架安全性更新繞過漏洞,若被利用可能嚴重影響系統的機密性、完整性和可用性,允許攻擊者查看用戶憑證、更改伺服器檔案內容甚至觸發系統崩潰。不過,此漏洞需要攻擊者已具有有效的低權限用戶憑證才能利用。
  •  
 

時代的終結:Windows 10 常規支援畫下句點

 
這次的修補程式更新也帶著一個重大訊息:Windows 10的常規支援正式終止。這意味著微軟將不再為該作業系統提供例行性的安全性更新和漏洞修復。
 
這個決定將對市場產生巨大影響,因為Windows 10在全球桌上型Windows版本市佔率中仍佔有近41%的巨大份額。資安專家警告,沒有持續的安全修補,這些電腦將面臨日益增加的病毒和惡意軟體風險。
 
仍在運行Windows 10的企業和個人用戶,若想在今日之後繼續接收安全性更新,必須轉而訂閱**「延伸安全更新計畫」(Extended Security Updates, ESU)。Nightwing網路事件響應經理Nick Carroll表示,隨著Windows 10終止支援,包括Exchange Server 2016/2019、Skype for Business 2016等產品的支援也同時結束。「這些產品將停止獲得安全修補,但這並不意味著威脅者會停止為它們製造新的漏洞。」Carroll提醒道。
 
面對如此嚴峻的資安環境,所有系統管理員和用戶都應立即採取行動,優先修補零日漏洞和高風險RCE,並規劃將仍在使用中的Windows 10設備升級至Windows 11或加入ESU計畫,以確保系統安全。