近期,安全领域连续曝出多个高危漏洞及APT攻击事件,且均已被在野利用,涉及Windows操作系统、Adobe办公软件、路由器等常用设备,覆盖个人终端、企业内网、机构服务器等多个场景,风险等级拉满,无论是企业还是个人,都需立即开展自查加固,避免遭受网络攻击、数据泄露等损失。
据安全机构统计,仅4月上旬,全球就有超过10万个终端被相关漏洞攻击,多个中小企业因未及时防护,出现核心数据泄露、系统瘫痪等问题,造成不同程度的经济损失,可见此次高危威胁的紧迫性和危害性。
1. Windows“BlueHammer”零日漏洞(紧急)
4月9日,国际知名安全研究机构Mandiant披露Windows系统存在“BlueHammer”零日漏洞(暂未分配CVE编号),该漏洞属于本地权限提升漏洞,影响Windows 10、Windows 11及Windows Server全系列版本,覆盖绝大多数个人及企业终端。本地攻击者可利用该漏洞,无需管理员权限,直接接管系统控制权,执行恶意代码、窃取核心数据、植入病毒木马等操作,且目前PoC(漏洞利用代码)已在地下黑客论坛公开,攻击门槛极低,普通黑客也能轻松利用。
值得注意的是,该漏洞无需用户主动操作,攻击者可通过U盘、恶意软件等方式,在用户不知情的情况下利用漏洞,隐蔽性极强,传统安全软件难以检测和拦截。截至目前,微软官方尚未发布相关补丁,给终端安全带来极大隐患。
【防护建议】企业立即排查所有Windows终端,关闭不必要的本地权限,限制普通用户的系统操作权限,暂时禁用可疑进程(如未识别的.exe文件进程);同时,加强终端安全监测,部署终端安全管理软件,及时拦截恶意文件和可疑操作,等待微软官方补丁发布后第一时间更新。个人用户避免随意打开陌生邮件附件、下载非官方软件,不插入不明来源的U盘,开启系统自带的安全防护功能,定期扫描终端病毒。
2. APT28组织发起无文件攻击
俄罗斯APT28组织(代号“Forest Blizzard”,隶属于俄罗斯联邦安全局)近期加大攻击力度,通过修改SOHO路由器DNS配置,向全球多机构(包括政府部门、企业、科研机构)推送无文件恶意软件,目前已导致全球超过500家机构的用户凭证失窃,涉及金融、医疗、教育等多个重点领域。该攻击具有极强的隐蔽性,无文件恶意软件不落地、不留下明显痕迹,传统杀毒软件难以检测,且攻击持续时间长、针对性强,一旦入侵,会长期窃取机构核心数据。
APT28组织作为全球知名的高级持续性威胁组织,长期从事针对性网络攻击活动,此次攻击主要利用SOHO路由器的安全漏洞,修改DNS服务器地址,将用户访问的正常网站劫持至恶意网站,进而推送无文件恶意软件,窃取用户账号密码、核心业务数据等信息。
【防护建议】企业立即检查所有SOHO路由器的DNS设置,将DNS服务器地址改为官方可信DNS(如阿里云DNS:223.5.5.5、223.6.6.6;谷歌DNS:8.8.8.8);定期更换路由器管理员密码,设置复杂密码(包含字母、数字、特殊符号),关闭路由器远程管理功能,避免外部人员远程入侵;加强内网终端的安全监测,部署入侵检测系统(IDS)和入侵防御系统(IPS),及时发现和拦截异常网络流量。
3. Adobe Acrobat Reader零日RCE漏洞
Adobe官方于4月10日紧急披露CVE-2026-34621漏洞,该漏洞为远程代码执行漏洞(RCE),存在于Adobe Acrobat Reader 2023、2024及DC版本中,覆盖Windows、macOS等多个系统。攻击者可通过精心构造恶意PDF文件,诱导用户打开,进而远程控制用户设备,执行恶意操作,如窃取个人信息、植入病毒木马、加密文件索要赎金等。目前,该漏洞已被在野利用,已有多个个人用户和中小企业中招。
Adobe官方表示,该漏洞源于软件的PDF解析模块存在缺陷,恶意PDF文件一旦被打开,无需用户额外操作,漏洞即可被利用,隐蔽性极强。针对该漏洞,Adobe已发布紧急补丁,用户需及时更新修复。
【防护建议】立即更新Adobe Acrobat Reader至最新版本(Adobe Acrobat Reader DC 2024.001.20145及以上版本),关闭软件自动打开PDF文件的功能;个人和企业用户避免接收陌生来源的PDF文件,尤其是邮件附件、聊天软件发送的未知PDF,若需打开,先通过安全软件扫描检测,确认无风险后再打开;同时,定期检查软件更新,及时修复各类安全漏洞。
