一、情况综述

2025年4月，我省互联网络总体运行情况良好。基础网络运行总体平稳，互联网骨干网各项监测指标正常，未发生重特大网络安全事件。本月我省移动互联网恶意程序事件日志量共约38.52万件，僵尸网络、木马程序、蠕虫事件日志量共约134.88万条。

分析来看，本月我省恶意程序事件总数有所增加，环比增长33.9%。监测僵尸网络、木马程序、蠕虫攻击总数有所增加，环比增长18.7%。

二、重要威胁预警

微软官方发布了2025年04月的安全更新。本月更新公布了202个漏洞，包含49个特权提升漏洞、33个远程执行代码漏洞、17个信息泄露漏洞、14个拒绝服务漏洞、9个安全功能绕过漏洞、3个身份假冒漏洞，其中11个漏洞级别为“Critical”（高危），112个为“Important”（严重）。本月需特别注意如下已公开/已出现在野攻击利用的漏洞：

1. Windows 通用日志文件系统驱动程序提权漏洞

（CVE-2025-29824）此漏洞无需用户交互。该漏洞是Windows通用日志文件系统（CLFS）驱动程序中的一个“使用后释放 (Use-After-Free，UAF)”漏洞。成功利用此漏洞的攻击者可以获得SYSTEM权限。

2. Windows 远程桌面服务远程代码执行漏洞

（CVE-2025-27482）此漏洞无需用户交互。攻击者无需经过授权，即可通过网络远程执行代码。成功利用此漏洞的攻击者，可通过连接到具有远程桌面网关角色的系统，触发竞争条件，创建“使用后释放 (Use-After-Free，UAF)”场景，进而利用此条件执行任意代码。

3. Windows TCP/IP 远程代码执行漏洞

（CVE-2025-26686）此漏洞需要用户交互，攻击者需要在用户发送DHCPv6请求时，发送带有伪造IPv6地址的DHCPv6响应，从而控制受影响的系统。未经授权的攻击者可能在特定条件下通过网络远程执行代码。

4.Windows Kerberos 提权漏洞

（CVE-2025-26647）此漏洞无需用户交互。攻击者无需经过授权，即可通过在本地网络上实施中间人攻击（MITM）或其他欺骗技术，向客户端发送伪造的Kerberos消息，将自己伪装成Kerberos认证服务器，从而提升权限。

5. Windows 轻量级目录访问协议（LDAP）远程代码执行漏洞

（CVE-2025-26663）此漏洞无需用户交互。该漏洞源于LDAP服务的“使用后释放（Use-After-Free，UAF）”内存错误，可能导致系统被完全控制，使攻击者能够直接远程执行任意代码。攻击者无需经过授权，成功利用此漏洞的攻击者可通过发送特制请求，在无用户交互情况下远程执行代码。

三、安全建议

本月微软的安全公告公开的系统0day漏洞，建议采用以下方式进行更新。

（一） Windows系统更新

自动更新：Microsoft Update默认启用，当系统检测到可用更新时，将会自动下载更新并在下一次启动时安装。

手动更新：

1. 点击“开始菜单”或按Windows快捷键，点击进入“设置”

2. 选择“更新和安全”，进入“Windows更新”（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，具体步骤为“控制面板”->“系统和安全”->“Windows更新”）

3. 选择“检查更新”，等待系统将自动检查并下载可用更新。

4. 重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

（二） 漏洞补丁安装

Microsoft官方下载相应补丁进行更新。下载链接：https://msrc.microsoft.com/update-guide/releaseNote/2025-Apr