微软惊现「零点击」核弹级漏洞！打开邮件就中招？

原创 老鑫安全 老鑫安全 2025-02-03 05:25

⚠️ 划重点
：
无需点击！无需下载！看一眼邮件，电脑就被黑？

最近微软修复了一个高危漏洞（CVE-2025-21298），危险程度直接拉满（CVSS 9.8）！攻击者只要发封邮件
，你连鼠标都不用点，系统就凉了……

一、漏洞杀伤力：看一眼就中毒？

1. 谁中枪了？

• 所有用Outlook/Word的打工人

• 系统版本
  ：Win10 20H2~22H2、Win11 21H2~23H2、Server 2019/2022

2. 攻击姿势：黑客狂喜！

想象一下：你打开邮箱，
懒人最爱用的预览窗格
自动加载邮件。结果一封带毒邮件悄悄触发漏洞——
还没等你点开，黑客已经远程种木马了！

🔍 
漏洞原理
：

藏在系统文件
ole32.dll
里的某个函数（
UtOlePresStmToContentsStm
）处理OLE对象时
内存翻车
，导致堆溢出+权限提升。

// 漏洞函数伪代码：指针没清空，二次释放直接崩！
void HandleOLE() {
    char* stream = malloc(256);  // 分配内存
    free(stream);                // 第一次释放
    // 此处未置空指针！留下致命隐患...
    if (error) free(stream);     // 二次释放→系统崩坏！
}

该漏洞源自
pstmContents
变量管理中的
双重释放
错误。漏洞的展开方式如下：
1. 创建和释放“内容”流
：开始时，该函数在存储中创建一个“内容”流，并将指针存储在
pstmContents
。指针立即被释放，释放底层内存。

1. 无法使释放的指针无效
   ：释放的
   pstmContents
   指针未设置为
   nullptr
   (或为零)。此疏忽导致指针悬空，引用已释放的内存。

2. 释放指针的下游重用
   ：在函数的后面，如果
   UtReadOlePresStmHeader
   函数失败，清理代码仍会尝试释放
   pstmContents
   ，而不知道指针引用了已释放的内存。这会导致
   双重释放的情况
   。

二、钓鱼攻击终极形态：连点击都省了！

传统钓鱼
：骗你点链接→下载exe→双击运行→GG

新时代钓鱼
：发封邮件→自动预览→
你还没摸鱼，黑客已控场！

黑客的骚操作：

1. 伪造老板邮件
   ：标题“紧急！Q4财报审核”，正文人畜无害

2. 埋入隐形炸弹
   ：邮件里藏个
   特制OLE对象
   （比如“财务报表.rtf”）

3. 坐等收割
   ：你的Outlook一预览，漏洞自动触发→木马上线→公司内网裸奔

💡 
防御冷知识
：

全球已有
48万台Exchange服务器
暴露在外！虽然漏洞不直接攻击邮箱服务器，但随便一个钓鱼邮件就能让内网瘫痪…

三、自救指南：打工人必看！

1. 紧急操作

• 立刻打补丁
  ：微软已发布KB5012345更新，速度安装！

2. 保命习惯

• 别迷信预览
  ：设置Outlook默认
  以纯文本显示邮件

• 全员警惕测试
  ：行政快组织
  钓鱼邮件模拟考试
  ！中招的同事罚请奶茶！

3. 企业级防御

• 上硬货
  ：部署EDR监控Office进程的
  异常内存操作

• 网络隔离
  ：把邮件服务器和核心数据库隔开，黑客想跳板？没门！

四、小编锐评

这漏洞简直是
黑客的梦中情洞
——成本低、收益高、还不用拼社工演技！打工人每天收几十封邮件，谁能防住「看一眼就中毒」的骚操作？

最后灵魂拷问
：

你们公司的IT还在用“勤打补丁多备份”的老三样吗？是时候升级到「零信任+行为分析」的版本了！

🔗 
扩展阅读
：
– [微软官方公告]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21298

• [GitHub PoC演示]（
  https://github.com/ynwarcs/CVE-2025-21298
  ）

转发提醒
：

随手转发到公司群，救救那群用Outlook预览摸鱼的同事吧！ 🚨

⚠️ 免责声明
：本文漏洞细节基于公开信息推测，实际攻击手法以官方披露为准。