紧急预警

微软高危漏洞CVE-2025-47981

近日，微软发布紧急安全公告，披露了一个被标记为"高危"级别的安全漏洞CVE-2025-47981。该漏洞被归类为CWE-122，属于可远程利用的基于堆的缓冲区溢出漏洞。其CVSS向量字符串

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C表明，该漏洞可通过网络发起攻击，复杂度低，无需特权或用户交互，但对机密性、完整性和可用性影响极大。

Windows10(1607及以上)、Windows11（23H2、24H2）、Windows Server2008 R2至Server2025等33种系统配置，包括x86、x64和ARM64架构及Server Core安装等。

据微软威胁情报中心(MSTIC)监测：

• 已有至少3个高级持续性威胁(APT)组织在利用该漏洞。

• 全球已检测到超过50万次攻击尝试。

• 金融、医疗、政府机构成为主要攻击目标。

微软于2025年7月8日发布了全面的安全更新，针对不同Windows配置修复了该漏洞。

企业应优先为面向互联网的系统和域控制器部署这些安全更新。补丁可通过Windows Update、Microsoft更新目录和Windows Server更新服务(WSUS)获取。

通过艾科网络接入控制系统（IDNAC），可直接对Win10、Win11系统的累积更新编号进行检查，通过此种方式可限制累积更新编号低于设定版本的系统接入网络，禁止未更新修复补丁的终端入网，避免该漏洞在内网传播。具体配置方式可联系艾科网信工程师进行技术支持。

例：针对存在上述漏洞的Win11终端，更新该漏洞补丁后的累积更新编号应为4652，那么我们可以在IDNAC策略上设置Win11的累积更新编号检查策略为4652，当终端入网时被检测到累积更新编号低于4652，则禁止其接入网络。

IDNAC还支持更多终端防护检查功能，如终端硬件ID检查、非法外联检查、终端软件黑白红名单检查、外设端口管控、外部存储设备管控、流量监控等多种终端防护检查功能。

其客户端兼容WinXP至Win11的全部终端操作系统（含神州网信版Win10），兼容银河麒麟、中标麒麟、统信UOS、中科方德、凝思等多种国产化操作系统。更多详细功能可联系艾科网信工程师进行咨询。