CVE-2025-26633 — 神龙十问 AI 深度分析摘要

🚨 **本质**：MMC 安全功能绕过漏洞。 💥 **后果**：攻击者可利用恶意 `.msc` 文件，在 MMC 上下文中通过 HTML/ActiveX 实现**远程命令执行**或**本地提权**。

🔍 **CWE-707**：安全功能绕过。 ⚠️ **缺陷点**：Microsoft Management Console (MMC) 在处理 `.msc` 文件加载时存在逻辑缺陷，未能正确验证来源或内容。

🖥️ **核心组件**：Microsoft Management Console (MMC)。 📦 **受影响版本**： - Windows Server 2016 (Server Core) - Windows Server 2008 (32-bit SP2) - 注：数据提及 Windows 10 Version 1507 也在受影响列表中。

👑 **权限提升**：从普通用户提升至 **Local Admin**（本地管理员）。 💾 **数据/控制**：可执行任意命令，完全控制系统，甚至实现持久化控制。

📉 **门槛中等**。 - **AV:L**：需本地访问。 - **AC:H**：攻击复杂度较高。 - **UI:R**：需用户交互（如点击/加载恶意文件）。

🔥 **有现成 Exp**。 - GitHub 上有多个 PoC（如 `MSC EvilTwin`）。 - 🚨 **在野利用**：Water Gamayun APT 组织正在积极利用此零日漏洞。

🔍 **自查特征**： - 检查系统中是否存在异常的 `.msc` 文件。 - 监控 MMC 进程加载 HTML/ActiveX 的行为。 - 扫描未打补丁的 Windows 版本。

🛡️ **已修复**。 - 微软于 **2025年3月** 发布补丁。 - 参考链接：MSRC 更新指南。

⚠️ **临时规避**： - 禁用不必要的 ActiveX 控件。 - 限制 `.msc` 文件的执行权限。 - 隔离受感染主机，防止横向移动。

🔴 **紧急**。 - CVSS **7.8 (High)**。 - 鉴于 APT 组织已在野利用，建议**立即更新补丁**，尤其是 Server 2016 和 2008 用户。