光是 2025 年 1 月,NIST 就收到了4,085 個驚人的漏洞,隨著被主動利用的威脅激增,今年一開始就創造了異常高的風險。其中值得注意的是,CVE-2025-21298是 Microsoft Windows OLE 中的零點擊 RCE (遠端程式碼執行) 漏洞,CVSS 得分為 9.8。此安全漏洞允許攻擊者僅需誘騙使用者在 Outlook 中預覽惡意 RTF 電子郵件,即可入侵系統 - 無需點擊。
在這篇文章中,我們會剖析這個漏洞在技術上的細微差異,探索如何 OPSWAT MetaDefender Core如何減緩此類零時差威脅,並為企業提供可行的建議。
瞭解弱點
利用零點擊攻擊技術
零點擊攻擊利用軟體漏洞,在沒有任何使用者互動的情況下發動攻擊。這表示可以在使用者的裝置上安裝惡意軟體或執行其他惡意動作,而不需要目標按一下連結、開啟檔案或採取任何動作,因此特別危險且難以偵測。
CVE-2025-21298 攻擊流程
此漏洞存在於 Windows OLE 系統中,特別是在 ole32.dll 圖書館的 UtOlePresStmToContentsStm 函式。此函式處理 OLE 儲存結構內的資料轉換,但包含記憶體損毀問題,攻擊者可利用此問題執行任意程式碼。
攻擊者透過電子郵件傳送特製的包含惡意 OLE 物件的 RTF 檔案。當收件者在 Microsoft Outlook 中開啟或預覽電子郵件時,電子郵件用戶端會處理附件。視窗 OLE 系統與內嵌物件接觸,利用易受攻擊的 UtOlePresStmToContentsStm 函數進行 OLE 處理。
在此階段,功能會嘗試轉換 OLE 儲存結構內的資料,導致記憶體損毀。此記憶體損毀會啟動 RCE,讓攻擊者能夠以與目前使用者相同的權限,在受攻擊的系統上執行任意指令。
針對 CVE-2025-21298 的概念驗證漏洞已發佈在GitHub上,以重現此攻擊。
使用OPSWAT MetaDefender Core防止零時差漏洞
零時差漏洞是現代網路安全中最具挑戰性的威脅,因為它們出乎意料地出現,在廠商尚未來得及釋出修補程式時就已被利用。這些嚴重的漏洞通常會立即造成系統入侵,讓防禦者只有極短的時間作出反應。CVE-2025-21298 是一個特別危險的零時差漏洞。
OPSWAT MetaDefender Core 先進威脅偵測與防禦的前沿,提供多層次安全防護機制,對 CVE-2025-21298 等零時差攻擊尤為有效。其整合Metascan™Multiscanning、Deep CDR™ 深度行為偵測技術及Adaptive Sandbox 技術,在威脅觸及關鍵系統前即能偵測並中和其危害。
作為第一道防線,MetascanMultiscanning 掃描會掃描包含惡意 RTF 檔案的電子郵件附件。34 個引擎中有 5 個可以偵測到 CVE-2025-21298。
接著,Deep CDR™ 技術會主動對檔案進行淨化處理,在移除潛在惡意元素的同時保留檔案的可用性。為降低與 CVE-2025-21298 相關的風險,我們首先在 Deep CDR™ 技術設定面板中啟用 RTF 格式的「移除嵌入物件」功能。
啟用後,Deep CDR™ 技術會將此嵌入物件識別為可疑節點,並移除 RTF 檔案。
Deep CDR™ 技術專注於惡意物件清除與檔案淨化,而Adaptive Sandbox 則透過基於模擬的引爆分析技術,進一步解析惡意行為與入侵指標(IOC),Sandbox 額外的防護層級。
實施建議
- 在電子郵件閘道部署 Deep CDR™ 技術,以對所有內嵌 RTF 格式的傳入檔案進行安全處理。
- 設定Adaptive Sandbox 以在傳送前安全地引爆可疑檔案。
- 對潛在的剝削企圖實施全面監控。
企業為何信任OPSWAT 的Advanced Threat Detection 與防禦功能?
各行各業的組織,包括金融、醫療保健和關鍵基礎設施,都仰賴OPSWAT MetaDefender Core 的功能:
- 業界領先的零時差防護:透過深度CDR™技術與Adaptive Sandbox 等先進安全措施,為新興威脅Sandbox 無可匹敵的防禦能力。
- 法規遵循支援: OPSWAT 解決方案透過確保嚴格的檔案清除政策,協助符合 GDPR、HIPAA 和 NIST 等安全標準。
- 與現有安全基礎架構無縫整合: MetaDefender Core 可與 SIEM、防火牆及端點防護平台整合,以進行全面的威脅偵測與防禦。
- 適用於企業環境的擴充性:專為處理大量資料而設計,可在不影響效能的情況下確保安全性。
結束語
CVE-2025-21298 對組織構成嚴重威脅,但企業可透過主動式安全措施預防災難性資料外洩。OPSWAT Core其Deep CDR™技術、Multiscanning及Adaptive Sandbox 提供對抗零時差攻擊的尖端防護。透過實施多層次安全策略並OPSWAT先進威脅防禦技術,組織能有效中和新興網路威脅,守護關鍵資產安全。
