微软 IIS RCE漏洞 - 内置COM对象的竞态条件实现UAF利用
互联网信息服务(IIS)内置 COM 组件中新披露的漏洞可能允许攻击者在受影响系统上执行任意代码。编号为 CVE-2025-59282 的漏洞源于共享内存组件中的竞争条件及释放后使用问题。 微软作为 CNA(CVE 编号机构)自评该问题为"重要"级别,基于本地攻击向量、高复杂度、无需特权及需用户交互等因素,给出 CVSS 3.1 评分为 7.0(临时评分 6.1)。
内置 COM 对象中的竞态条件漏洞
该漏洞源于某些 IIS COM 对象所使用的全局内存资源上的并发执行问题。在竞争条件(CWE-362)下,不恰当的同步机制导致一个线程释放了仍被其他线程使用的内存(CWE-416),从而产生了释放后重用漏洞的可利用时机。 攻击者可制作恶意文件并诱骗本地用户打开。若竞态条件被成功利用,任意代码将以提升的信任级别在同一台机器上执行,可能获得 shell 访问权限或投放额外载荷的能力。
- 攻击需精确把握时机以利用同步漏洞;
- 该漏洞同时涉及竞态条件和使用后释放漏洞;
- 依赖用户打开特制文件。
攻击复杂性及缓解策略
尽管被标记为远程代码执行漏洞,但实际利用仅限于本地场景:攻击者必须已在目标主机上具备代码执行能力,或诱骗合法用户加载特制组件。 CVSS 向量字符串 CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H 突显了这一细微差别:攻击复杂度高,需要精准把握时机才能赢得竞态条件,且必须要有用户交互参与。 目前尚无已知的公开漏洞利用或大规模武器化攻击发生,微软评估现阶段实际攻击的可能性较低。
- 未启用 IIS 的系统不受此漏洞影响。
- 禁用旧版 COM 对象支持可减少攻击面。
- 应用程序白名单可以防止执行不受信任的文件。
在官方补丁发布前,这些缓解措施为潜在攻击提供了分层防御。
微软的应对措施与建议
微软已于 2025 年 10 月 14 日的常规安全更新周期中发布官方补丁。所有运行 IIS 的受支持 Windows Server 版本都应立即安装该更新以修复 CVE-2025-59282 漏洞。建议各组织全面排查 IIS 安装情况,并确认默认 COM 对象功能已禁用(除非业务明确需要启用)。 定期监控微软技术支持生命周期门户网站,可确保及时应用补丁程序,从而在协同漏洞披露机制下维持系统环境的安全性。持续关注安全公告并加强本地安全策略仍然至关重要,因为类似这样的新兴漏洞持续针对传统组件中的底层同步缺陷进行攻击。
评论0次