技术说明
CISA于2026年5月20日基于活跃利用证据向其已知被利用漏洞(KEV)目录添加了七个漏洞。其中五个是2008-2010年的传统缺陷:CVE-2008-4250 (Microsoft Windows缓冲区溢出,与Conficker蠕虫相关的MS08-067),CVE-2009-1537 (Microsoft DirectX在QuickTime解析器中的NULL字节覆写),CVE-2009-3459 (Adobe Acrobat/Reader基于堆的缓冲区溢出),CVE-2010-0249和CVE-2010-0806 (均为Internet Explorer释放后使用漏洞)。两个是当前的Microsoft Defender缺陷:CVE-2026-41091 (权限提升)和CVE-2026-45498 (拒绝服务)。据CISA称,这些漏洞具有重大风险且正在被积极利用。联邦机构需在2026年6月3日前完成修复。
攻击途径
传统漏洞:通过精心制作的RPC进行远程代码执行(CVE-2008-4250),恶意QuickTime媒体文件(CVE-2009-1537),PDF漏洞利用(CVE-2009-3459),以及路过式浏览器攻击(CVE-2010-0249, CVE-2010-0806)。当前Defender缺陷:本地权限提升(CVE-2026-41091)和拒绝服务(CVE-2026-45498)。包含2008-2010年漏洞表明攻击者正在寻找运行不受支持Windows(2000、XP、Server 2003)的可达系统、嵌入式设备、陈旧虚拟机、工业设备、门禁系统、实验室仪器、自助终端镜像或被遗忘的部门服务器。Defender缺陷表明安全工具本身已成为攻击面的一部分。
受影响系统
Windows 2000、Windows XP、Windows Server 2003(传统CVE);Internet Explorer 6-8(传统);2009年的Adobe Reader/Acrobat版本;Microsoft Defender(当前CVE)。面临风险的系统包括被遗忘或未修补的Windows终端、运营技术(OT)环境、嵌入式系统、供应商管理的设备、传统自助终端,以及任何依赖Defender的基于Windows的安全或监控工具。AI基础设施团队应审计ML流水线组件、容器主机、边缘设备或CI/CD运行器是否运行受影响的Windows版本或Defender。
缓解措施
立即应用供应商补丁:针对传统系统的Microsoft安全更新(如果仍在扩展支持合同下受支持)和当前Defender补丁。对于不受支持的系统(Windows 2000/XP/Server 2003),应从生产网络中隔离或替换。审计所有Windows终端、OT环境、嵌入式设备和供应商管理设备的漏洞版本。联邦机构:需在2026年6月3日前完成修复。组织应将KEV添加视为即时操作信号,而非积压项目——CISA的纳入标准要求有活跃利用的证据。