微軟在2025年10月的「補丁星期二」(Patch Tuesday)發布了史上規模最大的安全更新,一次性修補了172個安全漏洞,其中包含6個零日漏洞(zero-day vulnerabilities),而且有3個已經被駭客在野外環境中實際利用。這次更新的嚴重性在於,其中一個漏洞CVE-2025-24990影響從最早期到最新版本的所有Windows系統,包括剛發布的Windows Server 2025。
已被利用的三大零日漏洞
根據多家資安機構報告,此次更新中有三個零日漏洞已經被駭客實際利用:
CVE-2025-24990:影響所有Windows版本的驅動程式漏洞
這個漏洞的嚴重性評分為7.8分(滿分10分),存在於Windows Agere數據機驅動程式(ltmdm64.sys)中。該漏洞允許攻擊者提升權限至SYSTEM等級,獲得系統最高控制權。
最令人擔憂的是,這個驅動程式隨附於每一個Windows版本中,從最早期版本一直到2025年10月剛發布的Windows Server 2025都包含這個有問題的驅動程式。微軟在本次累積更新中已經完全移除了這個驅動程式。
CVE-2025-59230:遠端存取連線管理員漏洞
同樣獲得7.8分嚴重性評分的CVE-2025-59230,是Windows遠端存取連線管理員(RasMan)的權限提升漏洞。這是RasMan組件首次出現被利用的零日漏洞。
該漏洞影響所有支援版本的Windows和Windows Server,允許攻擊者將權限提升至SYSTEM等級。由於RasMan負責處理VPN和撥號連線,這個漏洞的影響範圍相當廣泛。
CVE-2025-47827:IGEL OS安全開機繞過漏洞
第三個被利用的零日漏洞影響Linux基礎的IGEL OS(11版本之前),允許攻擊者繞過安全開機(Secure Boot)程序。雖然這不是Windows系統漏洞,但許多企業環境使用IGEL OS作為精簡型客戶端作業系統。
美國CISA緊急列管
美國網路安全暨基礎設施安全局(CISA)已在10月15日星期二將這兩個Windows零日漏洞(CVE-2025-24990和CVE-2025-59230)加入其「已知被利用漏洞目錄」(Known Exploited Vulnerabilities Catalog)。
根據CISA的綁定作業指令(BOD)22-01,美國聯邦民事行政部門(FCEB)機構必須在2025年11月5日之前完成修補,否則將面臨系統斷線的風險。
其他高風險漏洞
除了已被利用的零日漏洞,微軟還標記了14個漏洞為「更可能被利用」,其中包括兩個CVSS評分達9.8分的重大漏洞:
- CVE-2025-59246:影響Azure Entra ID(前身為Azure Active Directory)的身份驗證系統
- CVE-2025-59287:影響Windows Server更新服務(WSUS),可能讓攻擊者在企業網路中散布惡意更新
172個漏洞的驚人規模
這次更新包含的172個安全漏洞,涵蓋了微軟產品生態系統的各個層面:
- Windows作業系統核心組件
- Microsoft Office系列產品
- Azure雲端服務
- .NET Framework
- Visual Studio開發工具
- Microsoft Edge瀏覽器
資安專家指出,這是微軟近年來規模最大的單月補丁更新,顯示出當前資安威脅環境的複雜程度,以及微軟在內部安全審查流程中發現大量潛在風險的結果。
為什麼ltmdm64.sys存在這麼久?
CVE-2025-24990的驅動程式ltmdm64.sys是Agere數據機的驅動程式,這款數據機硬體已經停產多年。但由於Windows系統的向後相容性考量,這個驅動程式一直被保留在系統中,即使絕大多數現代電腦已經不再使用這種老舊的數據機硬體。
資安研究人員表示,這凸顯了作業系統向後相容性與安全性之間的矛盾。為了維持舊硬體的支援,系統中會保留大量過時的驅動程式和組件,而這些組件往往成為攻擊者的目標,因為它們較少受到安全審查。
企業IT部門的挑戰
對於企業IT部門來說,這次大規模更新帶來巨大挑戰:
- 測試時間壓縮:172個漏洞的修補涉及大量系統變更,需要充分測試以確保不會影響業務系統運作
- 緊急排程:由於零日漏洞已被利用,企業必須在安全風險和系統穩定性之間快速權衡
- 資源調配:大規模補丁部署需要協調IT人員、測試環境和生產環境的升級時程
資安專家建議,企業應優先修補那些已被利用的零日漏洞,特別是CVE-2025-24990和CVE-2025-59230,然後再逐步處理其他安全更新。
如何檢查和安裝更新
Windows用戶可以透過以下步驟檢查並安裝此次安全更新:
- 開啟「設定」應用程式
- 點選「Windows Update」或「更新與安全性」
- 點擊「檢查更新」按鈕
- 下載並安裝所有可用的更新
- 重新啟動電腦以完成安裝
企業環境的IT管理員應透過Windows Server Update Services(WSUS)、Microsoft Endpoint Configuration Manager(MECM)或其他企業級補丁管理工具進行集中部署。
資安專家的觀點
Zero Day Initiative的資深威脁研究員Dustin Childs表示:「這次更新的規模前所未見,顯示微軟正在積極處理積累的安全債務。但同時也提醒所有組織,Windows環境的攻擊面正在不斷擴大,需要更主動的安全管理策略。」
資安公司Tenable的研究總監Satnam Narang補充:「CVE-2025-24990特別值得關注,因為它影響所有Windows版本,包括被認為最安全的最新版本。這證明即使是最新的系統,也可能存在長期未被發現的安全缺陷。」
未來的安全建議
面對日益複雜的資安威脅,專家提出以下建議:
- 啟用自動更新:對於個人用戶和中小企業,啟用自動更新可以確保及時獲得安全修補
- 定期審查系統組件:企業應定期檢視系統中的驅動程式和組件,移除不必要的舊版組件
- 實施多層防禦:不要依賴單一安全措施,應該建立包含防火牆、端點防護、入侵檢測等多層防禦體系
- 建立應急回應計畫:制定零日漏洞的應急處理流程,以便在發現新威脅時能快速反應
對產業的影響
這次大規模更新也引發產業對於作業系統安全架構的討論。部分資安專家認為,Windows的龐大程式碼基礎和向後相容性要求,使其難以徹底消除安全風險。
相較之下,一些新興作業系統如Fuchsia(Google開發)和Redox(基於Rust語言)採用更現代的安全架構設計,從根本上降低類似漏洞的發生機率。但要在企業環境中大規模替換Windows系統,仍需要多年時間和巨額投資。
總結
微軟2025年10月補丁星期二的172個漏洞修補,創下單月更新規模紀錄。其中CVE-2025-24990影響所有Windows版本的事實,提醒所有使用者和組織,無論系統新舊,都需要保持警覺並及時更新。
對於個人用戶,最重要的是盡快安裝此次更新。對於企業IT部門,則需要在安全風險和系統穩定性之間取得平衡,優先處理那些已被利用的零日漏洞,同時規劃完整的補丁部署策略。
這次事件再次證明,資訊安全是一個持續的過程,而不是一次性的任務。只有保持警覺、及時更新,並建立完善的安全防護體系,才能在日益嚴峻的網路安全環境中保護重要資料和系統。
相關資源:
