CVE-2025-21298零点击漏洞深度解析
CVE-2025-21298零点击漏洞深度解析
云梦DC 云梦安全 2025-05-28 06:05
一、漏洞概述
CVE-2025-21298 是微软 Windows OLE(对象链接与嵌入)组件中的超危漏洞(CVSS 9.8),允许攻击者通过特制RTF文件(如钓鱼邮件附件)实现零点击远程代码执行(RCE)。用户仅需预览邮件或打开文件,即可触发漏洞,导致系统崩溃或恶意代码植入。
核心特性:
无交互攻击:Outlook 预览窗格自动解析附件中的 OLE 对象,无需用户点击。
双重杀伤链:既可导致系统崩溃(蓝屏),也可植入勒索软件、后门程序等。
大规模利用风险:GitHub 已出现公开的 PoC(概念验证代码),攻击门槛极低。
二、技术原理:双重释放引发内存崩溃
漏洞位于 ole32.dll 的 UtOlePresStmToContentsStm 函数中,核心缺陷为双重释放(Double-Free),具体流程如下:
首次释放:
函数创建 CONTENTS 流后立即释放其指针,但未置空,导致指针悬垂(Dangling Pointer)。
二次释放:
若后续解析 OLE 对象头失败(如恶意构造的数据),清理代码再次释放同一指针,引发堆内存崩溃。
代码示例(简化版):
void UtOlePresStmToContentsStm() {
pstmContents = CreateStream(); // 创建流
Release(pstmContents); // 第一次释放
if (解析失败) {
Release(pstmContents); // 第二次释放 → 双重释放
}
}
微软的修复方案为:释放指针后立即置零,避免重复释放。
三、攻击场景:从钓鱼邮件到内网沦陷
- 典型攻击链
武器制作:将恶意 OLE 对象嵌入 RTF 文件,伪装成合同、报价单等业务文档。
传播诱饵:通过钓鱼邮件、社交工具或企业 OA 系统传播,利用高频文件交互特性诱导信任。
漏洞触发:
零点击场景:Outlook 预览窗格自动加载附件,触发漏洞。
主动打开场景:用户双击文件后,5 分钟内完成内网横向渗透。
- 企业级杀伤力
邮件服务器沦陷:全球约 48 万台未修复的 Exchange 服务器暴露在公网。
供应链攻击:通过控制供应商邮箱,向上下游发送恶意文件,形成“滚雪球”效应。
四、修复与防御方案
- 紧急升级
立即安装微软官方补丁:
Windows 更新:KB50252525(2025 年 1 月累积更新)。
Office 更新:确保升级至最新版本。
- 临时缓解措施
禁用 OLE 对象预览(管理员权限运行):
reg add "HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security" /v "DisableOLEPackager" /t REG_DWORD /d 1 /f
邮件安全加固:过滤 .rtf 附件,或强制以纯文本格式显示邮件
poc地址:
https://github.com/ynwarcs/CVE-2025-21298/tree/main