【安全资讯】微软修复被利用的Hyper-V权限提升漏洞

概要：

微软在2025年首个补丁星期二发布了针对Hyper-V虚拟机监控程序的三项权限提升漏洞的修复。这些漏洞已经在网络上被利用，属于零日漏洞，严重性评级为重要，CVSS评分为7.8，可能导致攻击者获得系统权限，威胁用户安全。

主要内容：

此次修复的Hyper-V漏洞包括CVE-2025-21333、CVE-2025-21334和CVE-2025-21335，均涉及内存安全缺陷，其中两项为使用后释放（use-after-free），一项为堆缓冲区溢出。这些漏洞允许已经在系统内的恶意用户或恶意软件提升权限，获取最高的系统权限，尽管它们并不被视为访客逃逸漏洞。

此外，微软还修复了其他三项严重漏洞，CVSS评分为9.8，涉及NTLMv1身份验证系统和Windows对象链接与嵌入（OLE）框架。特别是OLE框架的漏洞，攻击者可能通过打开特制的Outlook邮件来利用，影响Windows 10、11及所有支持的Windows Server版本。另一个漏洞则允许未经身份验证的攻击者通过发送特制数据包来执行任意代码，可能导致严重的安全后果。

微软在补丁发布中强调，尽管这些漏洞的修复措施已到位，但用户仍需保持警惕，确保系统不暴露于公共互联网，以防止潜在的攻击。随着网络攻击手段的不断演变，企业和用户必须及时更新系统，以保护自身安全。