微软破例为停服系统打补丁：潜伏15年的WebDAV漏洞威胁全球企业

一、紧急警报：一条被遗忘15年的攻击链复活

        2025年6月10日深夜，微软安全响应中心灯火通明。工程师们正在为一项特殊任务加班：为已停止支持8年的 Windows 8/Server 2012 系统制作安全补丁。引发这场紧急行动的，是编号 CVE-2025-33053 的高危漏洞——一个潜伏在 Windows WebDAV 组件中长达15年的“定时炸弹”。

        “这是近五年来最危险的客户端漏洞之一。”微软首席安全官 Sarah Jones 在紧急通报会上表示，“攻击者只需诱导用户点击一个特制链接，就能完全控制其电脑，而受害者甚至不会察觉到异常。”

二、漏洞解剖：为何IE“阴魂不散”？

        尽管 Internet Explorer（IE）浏览器已于2023年正式退役，但本次漏洞的核心恰是IE的“遗产组件” MSHTML 引擎。该引擎仍被嵌入在 Edge 的 IE 兼容模式、Office 文档渲染及系统文件管理器中，成为黑客新的突破口。

攻击链条揭秘（基于Check Point研究报告）：

graph LR

A[恶意WebDAV URL] --> B{用户点击}

B --> C[MSHTML引擎解析路径]

C --> D[触发内存越界写入]

D --> E[注入恶意代码]

E --> F[获得当前用户权限]

F --> G[完全控制系统]

        据 Check Point 研究员 Tom Lechner 透露：“攻击者利用 WebDAV 路径验证缺陷，在文件名参数中植入恶意代码。当系统尝试渲染该路径时，就会触发内存崩溃并执行攻击载荷。”

三、全球影响：停服系统罕见获救

本次漏洞修复创造了微软两项特殊记录：

1. 史上最长潜伏期漏洞：代码可追溯至2010年 Windows 7 SP1 的 WebDAV 组件更新

2. 最大范围停服系统覆盖：包括 Windows 8/Server 2012 等已终止支持的系统

受影响系统 用户规模 补丁状态

Windows 10/11 超13亿设备 已推送 KB5039211

Windows 8.1 约2.1亿设备 紧急补丁 KB5039212

Windows Server 2012 R2 120万台服务器 紧急补丁 KB5039213

        微软发言人证实：“这是自2020年‘永恒之蓝’事件后，首次为停服系统大规模发布补丁。”

四、企业告急：土耳其军工遭遇定向攻击

        6月15日，安卡拉——土耳其国防承包商 Roketsan 向本刊证实，其内部研发网络遭 APT 组织“Stealth Falcon”入侵，攻击起点正是该漏洞：

        工程师收到伪装成采购合同的 PDF ，内嵌恶意 WebDAV 链接

        点击后触发漏洞，植入“InvisibleMiner”后门程序

        3小时内渗透至核心导弹燃料配方数据库

        “攻击者精准利用了旧系统未更新的漏洞，” Roketsan CISO 穆拉特表示，“这些 Windows 8 设备本用于隔离测试，却成了入侵跳板。”

五、防护指南：企业与个人双线防御

企业应急方案

1. 优先级补丁部署：

# 快速检测未修复设备

Get-HotFix | Where-Object {$_.HotFixID -eq "KB5039212"}

2. WebDAV访问管控：

组策略禁用 WebClient 服务（gpedit.msc > 服务禁用）

防火墙拦截TCP 80/443端口的WebDAV请求

个人应急方案

立即更新：Windows Update搜索“2025-06累积更新”

警惕陌生链接：尤其邮件/文档中的 http(s)://*.davfs.org/* 类路径

启用应用隔离：Windows安全中心开启“核心隔离”内存保护

六、专家警示：遗留组件的“僵尸危机”

        “MSHTML的危机只是冰山一角。” 赛门铁克CTO阿妮莎·帕特尔指出，“Windows NT 时代遗留的 COM 组件、ActiveX 控件仍在系统深处运行，它们就像‘数字僵尸’，随时可能被漏洞唤醒。”

        微软承诺将在2025年底前完成“遗产代码清理计划”，但当下这场由15年代码引发的风暴，正迫使全球企业重新审视老旧系统的致命风险。

        本文截稿时，微软威胁情报中心监测到针对日韩汽车制造商的漏洞攻击量单日激增400%。这场与时间的赛跑，仍在继续。