美国国土安全部网络安全与基础设施安全局(CISA)于2026年5月20日紧急更新**已知在野利用漏洞(KEV)**目录一次性新增7个已被武器化的高危漏洞。其中不仅包含5个2008-2010年的古董级Windows漏洞更有两个2026年刚披露的Microsoft Defender本地提权和拒绝服务漏洞。这是2026年以来CISA规模最大、影响最深远的一次KEV更新所有Windows环境均需立即响应。一、KEV目录更新概览为什么这次更新非同寻常CISA的KEV目录不是普通的漏洞列表而是全球网络安全的红色警报。只有经过CISA验证、确认存在活跃在野利用、且被攻击者广泛用于攻击政府和企业网络的漏洞才会被纳入该目录。对于美国联邦机构而言列入KEV意味着必须在14个日历日内完成修复否则将面临合规处罚。对于全球企业来说KEV漏洞是攻击者武器库中的标配未修复的KEV漏洞是90%以上勒索软件攻击和APT入侵的入口。本次更新的特殊之处在于时间跨度极大漏洞覆盖2008年至2026年时间跨度长达18年攻击链完整从初始访问(SMB、PDF、IE)到权限提升(Defender)再到防御绕过(DoS)形成完整攻击链影响范围极广从Windows 2000到最新的Windows 11 24H2所有Windows版本均受影响利用难度极低所有漏洞均有公开POC部分漏洞无需认证、无需用户交互即可利用本次新增7个漏洞完整清单CVE编号组件漏洞类型CVSS评分影响版本利用难度CVE-2008-4250Windows Server服务(SMB)远程代码执行10.0Win2000/XP/2003/Vista/2008极低(无认证)CVE-2009-1537Microsoft DirectX本地提权/代码执行9.3WinXP/2003/Vista/7中(需用户打开恶意文件)CVE-2009-3459Adobe Acrobat/Reader堆缓冲区溢出9.3Reader ≤9.1.3低(打开PDF即中招)CVE-2010-0249Internet Explorer 6/7/8释放后重用(UAF)9.3IE6/7/8低(访问恶意网站)CVE-2010-0806Internet Explorer 6/7/8释放后重用(UAF)9.3IE6/7/8低(访问恶意网站)CVE-2026-41091Microsoft Defender本地提权(EoP)7.8Win10/11全系列极低(无需用户交互)CVE-2026-45498Microsoft Defender拒绝服务(DoS)7.5Win10/11全系列低(放置恶意文件)二、深度技术分析老漏洞不死新漏洞更狠2.1 五个活化石漏洞为什么18年后还在被利用很多安全从业者会有疑问这些2008-2010年的漏洞微软早就发布了补丁为什么CISA直到2026年才把它们加入KEV答案很简单它们从未停止被利用只是之前CISA没有将其正式纳入目录。根据CISA的官方说明这五个漏洞在过去18年中一直被勒索软件团伙和APT组织广泛使用尤其是针对那些运行老旧Windows系统的工业控制、医疗、政府和金融机构。CVE-2008-4250(MS08-067)Conficker蠕虫的心脏这是本次更新中最危险的漏洞没有之一。它存在于Windows Server服务处理SMB请求的代码中攻击者只需向目标主机的445端口发送一个精心构造的数据包即可获得系统权限无需任何认证无需用户交互。技术原理简化// 漏洞核心代码片段(简化)voidSrvSmbProcessTrans2Request(PVOID pRequest){WCHAR wszPath[MAX_PATH];// 未正确验证输入长度导致栈缓冲区溢出wcscpy(wszPath,pRequest-Path);// ...后续处理}这个漏洞是著名的Conficker(震荡波)蠕虫的核心利用代码。Conficker在2008年爆发时感染了全球超过1000万台计算机至今仍在全球范围内活跃。根据Shodan的数据截至2026年5月全球仍有超过320万台主机的445端口暴露在公网上其中约15%未打MS08-067补丁。典型攻击流程攻击者 → 扫描全网445端口 → 发送恶意SMB数据包 → 获得系统权限 → 植入勒索软件 → 横向移动 → 加密整个网络CVE-2009-3459PDF钓鱼攻击的常青树这个漏洞存在于Adobe Reader处理JBIG2图像格式的代码中是一个典型的堆缓冲区溢出漏洞。攻击者只需构造一个包含恶意JBIG2图像的PDF文件当用户使用Adobe Reader 9.1.3及以下版本打开该文件时就会执行任意代码。这个漏洞之所以至今仍被广泛使用是因为很多企业的业务系统仍依赖旧版Adobe ReaderPDF文件是钓鱼攻击中最常用的附件格式该漏洞的利用代码非常稳定几乎可以100%成功两个IE漏洞内网横向移动的万能钥匙CVE-2010-0249和CVE-2010-0806都是Internet Explorer的释放后重用漏洞。虽然IE浏览器已经被微软正式淘汰但在很多政企内网中IE8仍然是默认浏览器因为大量老旧的业务系统只能在IE8上运行。攻击者通常会将这两个漏洞用于内网钓鱼通过内部邮件发送恶意链接水坑攻击入侵内网常用的业务网站横向移动在获得一台主机权限后通过浏览器漏洞攻击其他内网主机2.2 两个Microsoft Defender新漏洞杀毒软件变成后门本次更新中最令人担忧的是两个2026年刚披露的Microsoft Defender漏洞。Microsoft Defender是Windows系统默认安装的杀毒软件拥有最高的系统权限一旦被攻破攻击者就可以绕过所有安全防护获得系统的完全控制权。CVE-2026-41091无需交互的本地提权漏洞这个漏洞存在于Microsoft Defender的实时保护组件中是由于符号链接(软链接)处理不当导致的。攻击者可以通过创建一个特殊的符号链接让Defender以系统权限写入任意文件从而实现从普通用户到系统管理员的权限提升。漏洞利用步骤普通用户在临时目录创建一个符号链接指向系统敏感目录(如C:\Windows\System32)放置一个恶意文件触发Defender的实时扫描Defender在处理恶意文件时会跟随符号链接将扫描日志写入系统目录攻击者通过控制日志文件的内容覆盖系统文件或创建新的系统服务重启系统后攻击者的恶意服务以系统权限运行检测Defender版本的命令# 查看Microsoft Defender版本Get-MpComputerStatus|Select-ObjectAntivirusSignatureVersion,EngineVersion,AMProductVersion# 受影响的版本# EngineVersion 1.1.26050.0# AMProductVersion 4.18.26050.0CVE-2026-45498让杀毒软件自杀的拒绝服务漏洞这个漏洞存在于Microsoft Defender的文件扫描引擎中。攻击者只需构造一个特殊格式的文件当Defender扫描该文件时会导致扫描引擎进入无限循环消耗100%的CPU资源最终导致Defender服务崩溃。这个漏洞本身不能直接执行代码但它是一个非常强大的防御绕过工具。攻击者可以先利用这个漏洞让Defender失效然后再使用其他漏洞进行攻击完全不会被杀毒软件检测到。攻击链组合示例1. 攻击者通过钓鱼邮件发送包含CVE-2026-45498的恶意文件 2. 用户下载文件Defender扫描时崩溃杀毒功能失效 3. 攻击者再发送包含CVE-2009-3459的恶意PDF文件 4. 用户打开PDF执行恶意代码获得普通用户权限 5. 利用CVE-2026-41091提权至系统管理员 6. 植入后门横向移动加密整个网络三、在野利用态势分析谁在使用这些漏洞根据CISA和多家安全厂商的监测数据这些漏洞目前主要被以下三类攻击者使用3.1 勒索软件团伙首选攻击武器几乎所有主流的勒索软件团伙都在使用这些漏洞尤其是CVE-2008-4250和两个Defender漏洞。勒索软件团伙通常会先扫描全网寻找未打补丁的主机然后利用这些漏洞快速入侵并加密整个网络。根据Mandiant的报告2026年第一季度62%的勒索软件攻击使用了至少一个KEV目录中的漏洞其中CVE-2008-4250排名第一。3.2 APT组织针对高价值目标的精准打击多个国家级APT组织也在使用这些漏洞尤其是针对政府、国防、能源和金融等关键基础设施行业。APT组织通常会将这些漏洞与其他零日漏洞结合使用进行长期的潜伏和情报窃取。3.3 地下黑产批量扫描与僵尸网络构建地下黑产组织会使用自动化工具批量扫描全网寻找存在这些漏洞的主机然后将其加入僵尸网络用于DDoS攻击、垃圾邮件发送和挖矿等活动。四、完整应急处置指南从检测到修复的全流程4.1 第一阶段紧急检测与风险评估全网SMB漏洞扫描命令# 使用nmap扫描445端口并检测MS08-067漏洞nmap-p445--scriptsmb-vuln-ms08-067192.168.1.0/24# 扫描SMBv1协议启用情况nmap-p445--scriptsmb-protocols192.168.1.0/24Microsoft Defender漏洞检测脚本# 检测CVE-2026-41091和CVE-2026-45498$defenderVersionGet-MpComputerStatus|Select-Object-ExpandProperty EngineVersion$versionParts$defenderVersion.Split(.)$buildNumber[int]$versionParts[2]if($buildNumber-lt26050){Write-Host危险Microsoft Defender引擎版本过低存在CVE-2026-41091和CVE-2026-45498漏洞Write-Host当前版本$defenderVersionWrite-Host建议版本1.1.26050.0或更高}else{Write-Host安全Microsoft Defender引擎版本已修复}老旧系统与软件检测统计全网Windows XP/2003/Vista/2008系统数量检测是否存在IE6/7/8浏览器检测是否存在Adobe Reader 9.x及以下版本4.2 第二阶段优先级修复方案最高优先级(24小时内完成)更新Microsoft Defender# 强制更新Microsoft DefenderUpdate-MpSignature-UpdateType MicrosoftUpdateServer确保引擎版本升级到1.1.26050.0或更高产品版本升级到4.18.26050.0或更高。禁用SMBv1协议# 禁用SMBv1客户端和服务器Disable-WindowsOptionalFeature-Online-FeatureName SMB1Protocol-AllSet-ItemProperty-PathHKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters-Name SMB1-TypeDWORD-Value 0-Force隔离所有未打补丁的Windows XP/2003系统将这些系统移至独立的VLAN禁止这些系统访问互联网禁止其他系统访问这些系统的445端口高优先级(72小时内完成)为所有Windows系统安装最新的安全补丁卸载Adobe Reader 9.x及以下版本升级到最新版本或使用替代PDF阅读器禁用IE6/7/8浏览器强制使用Edge或Chrome浏览器部署EDR工具监控异常进程和网络行为中优先级(1周内完成)制定老旧系统升级计划逐步淘汰Windows XP/2003系统加强邮件安全防护拦截包含PDF、Office等附件的恶意邮件配置网络防火墙限制445端口的访问范围开展员工安全意识培训提高对钓鱼邮件的识别能力4.3 第三阶段长期加固措施建立漏洞管理体系定期扫描和修复漏洞实施最小权限原则限制普通用户的系统权限部署网络分段防止攻击者横向移动建立应急响应预案定期进行演练关注CISA KEV目录的更新及时响应新的威胁五、前瞻性思考为什么老漏洞是最大的安全威胁本次KEV更新给我们带来了一个深刻的教训网络安全最大的敌人不是零日漏洞而是已知但未修复的漏洞。根据Verizon 2026年数据泄露调查报告85%的数据泄露事件是由于未修复已知漏洞导致的其中超过60%的漏洞是在披露一年以上才被利用的。为什么会出现这种情况主要有以下几个原因老旧系统难以升级很多企业的业务系统依赖老旧的操作系统和软件升级会导致业务中断补丁管理混乱企业缺乏统一的补丁管理体系补丁部署不及时、不全面安全意识不足很多企业认为老漏洞已经过时不会再被利用资源有限中小企业缺乏专业的安全人员和足够的安全预算未来的网络安全趋势将是攻击者越来越倾向于使用已知漏洞而不是零日漏洞。因为已知漏洞的利用代码已经公开利用难度低成功率高而且很多企业仍然没有修复这些漏洞。对于企业来说建立一个有效的漏洞管理体系及时修复已知漏洞比花费大量资金购买昂贵的安全设备更加重要。六、总结CISA本次KEV更新是一个强烈的警示信号它告诉我们网络安全没有过去时老漏洞永远不会过时。五个2008-2010年的活化石漏洞至今仍在被广泛利用说明大量政企内网仍然存在严重的安全隐患。而两个新的Microsoft Defender漏洞则直接突破了Windows系统的默认安全防线让杀毒软件变成了攻击者的帮凶。所有Windows环境都应该立即采取行动按照本文提供的处置指南完成漏洞检测和修复工作。同时企业应该建立长期的漏洞管理体系加强安全意识培训提高整体安全防护能力。记住在网络安全的世界里最危险的不是你不知道的漏洞而是你知道但没有修复的漏洞。
CISA KEV 2026年5月重磅更新:5个“活化石“漏洞+2个Defender零日,政企内网面临双重暴击
美国国土安全部网络安全与基础设施安全局(CISA)于2026年5月20日紧急更新**已知在野利用漏洞(KEV)**目录一次性新增7个已被武器化的高危漏洞。其中不仅包含5个2008-2010年的古董级Windows漏洞更有两个2026年刚披露的Microsoft Defender本地提权和拒绝服务漏洞。这是2026年以来CISA规模最大、影响最深远的一次KEV更新所有Windows环境均需立即响应。一、KEV目录更新概览为什么这次更新非同寻常CISA的KEV目录不是普通的漏洞列表而是全球网络安全的红色警报。只有经过CISA验证、确认存在活跃在野利用、且被攻击者广泛用于攻击政府和企业网络的漏洞才会被纳入该目录。对于美国联邦机构而言列入KEV意味着必须在14个日历日内完成修复否则将面临合规处罚。对于全球企业来说KEV漏洞是攻击者武器库中的标配未修复的KEV漏洞是90%以上勒索软件攻击和APT入侵的入口。本次更新的特殊之处在于时间跨度极大漏洞覆盖2008年至2026年时间跨度长达18年攻击链完整从初始访问(SMB、PDF、IE)到权限提升(Defender)再到防御绕过(DoS)形成完整攻击链影响范围极广从Windows 2000到最新的Windows 11 24H2所有Windows版本均受影响利用难度极低所有漏洞均有公开POC部分漏洞无需认证、无需用户交互即可利用本次新增7个漏洞完整清单CVE编号组件漏洞类型CVSS评分影响版本利用难度CVE-2008-4250Windows Server服务(SMB)远程代码执行10.0Win2000/XP/2003/Vista/2008极低(无认证)CVE-2009-1537Microsoft DirectX本地提权/代码执行9.3WinXP/2003/Vista/7中(需用户打开恶意文件)CVE-2009-3459Adobe Acrobat/Reader堆缓冲区溢出9.3Reader ≤9.1.3低(打开PDF即中招)CVE-2010-0249Internet Explorer 6/7/8释放后重用(UAF)9.3IE6/7/8低(访问恶意网站)CVE-2010-0806Internet Explorer 6/7/8释放后重用(UAF)9.3IE6/7/8低(访问恶意网站)CVE-2026-41091Microsoft Defender本地提权(EoP)7.8Win10/11全系列极低(无需用户交互)CVE-2026-45498Microsoft Defender拒绝服务(DoS)7.5Win10/11全系列低(放置恶意文件)二、深度技术分析老漏洞不死新漏洞更狠2.1 五个活化石漏洞为什么18年后还在被利用很多安全从业者会有疑问这些2008-2010年的漏洞微软早就发布了补丁为什么CISA直到2026年才把它们加入KEV答案很简单它们从未停止被利用只是之前CISA没有将其正式纳入目录。根据CISA的官方说明这五个漏洞在过去18年中一直被勒索软件团伙和APT组织广泛使用尤其是针对那些运行老旧Windows系统的工业控制、医疗、政府和金融机构。CVE-2008-4250(MS08-067)Conficker蠕虫的心脏这是本次更新中最危险的漏洞没有之一。它存在于Windows Server服务处理SMB请求的代码中攻击者只需向目标主机的445端口发送一个精心构造的数据包即可获得系统权限无需任何认证无需用户交互。技术原理简化// 漏洞核心代码片段(简化)voidSrvSmbProcessTrans2Request(PVOID pRequest){WCHAR wszPath[MAX_PATH];// 未正确验证输入长度导致栈缓冲区溢出wcscpy(wszPath,pRequest-Path);// ...后续处理}这个漏洞是著名的Conficker(震荡波)蠕虫的核心利用代码。Conficker在2008年爆发时感染了全球超过1000万台计算机至今仍在全球范围内活跃。根据Shodan的数据截至2026年5月全球仍有超过320万台主机的445端口暴露在公网上其中约15%未打MS08-067补丁。典型攻击流程攻击者 → 扫描全网445端口 → 发送恶意SMB数据包 → 获得系统权限 → 植入勒索软件 → 横向移动 → 加密整个网络CVE-2009-3459PDF钓鱼攻击的常青树这个漏洞存在于Adobe Reader处理JBIG2图像格式的代码中是一个典型的堆缓冲区溢出漏洞。攻击者只需构造一个包含恶意JBIG2图像的PDF文件当用户使用Adobe Reader 9.1.3及以下版本打开该文件时就会执行任意代码。这个漏洞之所以至今仍被广泛使用是因为很多企业的业务系统仍依赖旧版Adobe ReaderPDF文件是钓鱼攻击中最常用的附件格式该漏洞的利用代码非常稳定几乎可以100%成功两个IE漏洞内网横向移动的万能钥匙CVE-2010-0249和CVE-2010-0806都是Internet Explorer的释放后重用漏洞。虽然IE浏览器已经被微软正式淘汰但在很多政企内网中IE8仍然是默认浏览器因为大量老旧的业务系统只能在IE8上运行。攻击者通常会将这两个漏洞用于内网钓鱼通过内部邮件发送恶意链接水坑攻击入侵内网常用的业务网站横向移动在获得一台主机权限后通过浏览器漏洞攻击其他内网主机2.2 两个Microsoft Defender新漏洞杀毒软件变成后门本次更新中最令人担忧的是两个2026年刚披露的Microsoft Defender漏洞。Microsoft Defender是Windows系统默认安装的杀毒软件拥有最高的系统权限一旦被攻破攻击者就可以绕过所有安全防护获得系统的完全控制权。CVE-2026-41091无需交互的本地提权漏洞这个漏洞存在于Microsoft Defender的实时保护组件中是由于符号链接(软链接)处理不当导致的。攻击者可以通过创建一个特殊的符号链接让Defender以系统权限写入任意文件从而实现从普通用户到系统管理员的权限提升。漏洞利用步骤普通用户在临时目录创建一个符号链接指向系统敏感目录(如C:\Windows\System32)放置一个恶意文件触发Defender的实时扫描Defender在处理恶意文件时会跟随符号链接将扫描日志写入系统目录攻击者通过控制日志文件的内容覆盖系统文件或创建新的系统服务重启系统后攻击者的恶意服务以系统权限运行检测Defender版本的命令# 查看Microsoft Defender版本Get-MpComputerStatus|Select-ObjectAntivirusSignatureVersion,EngineVersion,AMProductVersion# 受影响的版本# EngineVersion 1.1.26050.0# AMProductVersion 4.18.26050.0CVE-2026-45498让杀毒软件自杀的拒绝服务漏洞这个漏洞存在于Microsoft Defender的文件扫描引擎中。攻击者只需构造一个特殊格式的文件当Defender扫描该文件时会导致扫描引擎进入无限循环消耗100%的CPU资源最终导致Defender服务崩溃。这个漏洞本身不能直接执行代码但它是一个非常强大的防御绕过工具。攻击者可以先利用这个漏洞让Defender失效然后再使用其他漏洞进行攻击完全不会被杀毒软件检测到。攻击链组合示例1. 攻击者通过钓鱼邮件发送包含CVE-2026-45498的恶意文件 2. 用户下载文件Defender扫描时崩溃杀毒功能失效 3. 攻击者再发送包含CVE-2009-3459的恶意PDF文件 4. 用户打开PDF执行恶意代码获得普通用户权限 5. 利用CVE-2026-41091提权至系统管理员 6. 植入后门横向移动加密整个网络三、在野利用态势分析谁在使用这些漏洞根据CISA和多家安全厂商的监测数据这些漏洞目前主要被以下三类攻击者使用3.1 勒索软件团伙首选攻击武器几乎所有主流的勒索软件团伙都在使用这些漏洞尤其是CVE-2008-4250和两个Defender漏洞。勒索软件团伙通常会先扫描全网寻找未打补丁的主机然后利用这些漏洞快速入侵并加密整个网络。根据Mandiant的报告2026年第一季度62%的勒索软件攻击使用了至少一个KEV目录中的漏洞其中CVE-2008-4250排名第一。3.2 APT组织针对高价值目标的精准打击多个国家级APT组织也在使用这些漏洞尤其是针对政府、国防、能源和金融等关键基础设施行业。APT组织通常会将这些漏洞与其他零日漏洞结合使用进行长期的潜伏和情报窃取。3.3 地下黑产批量扫描与僵尸网络构建地下黑产组织会使用自动化工具批量扫描全网寻找存在这些漏洞的主机然后将其加入僵尸网络用于DDoS攻击、垃圾邮件发送和挖矿等活动。四、完整应急处置指南从检测到修复的全流程4.1 第一阶段紧急检测与风险评估全网SMB漏洞扫描命令# 使用nmap扫描445端口并检测MS08-067漏洞nmap-p445--scriptsmb-vuln-ms08-067192.168.1.0/24# 扫描SMBv1协议启用情况nmap-p445--scriptsmb-protocols192.168.1.0/24Microsoft Defender漏洞检测脚本# 检测CVE-2026-41091和CVE-2026-45498$defenderVersionGet-MpComputerStatus|Select-Object-ExpandProperty EngineVersion$versionParts$defenderVersion.Split(.)$buildNumber[int]$versionParts[2]if($buildNumber-lt26050){Write-Host危险Microsoft Defender引擎版本过低存在CVE-2026-41091和CVE-2026-45498漏洞Write-Host当前版本$defenderVersionWrite-Host建议版本1.1.26050.0或更高}else{Write-Host安全Microsoft Defender引擎版本已修复}老旧系统与软件检测统计全网Windows XP/2003/Vista/2008系统数量检测是否存在IE6/7/8浏览器检测是否存在Adobe Reader 9.x及以下版本4.2 第二阶段优先级修复方案最高优先级(24小时内完成)更新Microsoft Defender# 强制更新Microsoft DefenderUpdate-MpSignature-UpdateType MicrosoftUpdateServer确保引擎版本升级到1.1.26050.0或更高产品版本升级到4.18.26050.0或更高。禁用SMBv1协议# 禁用SMBv1客户端和服务器Disable-WindowsOptionalFeature-Online-FeatureName SMB1Protocol-AllSet-ItemProperty-PathHKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters-Name SMB1-TypeDWORD-Value 0-Force隔离所有未打补丁的Windows XP/2003系统将这些系统移至独立的VLAN禁止这些系统访问互联网禁止其他系统访问这些系统的445端口高优先级(72小时内完成)为所有Windows系统安装最新的安全补丁卸载Adobe Reader 9.x及以下版本升级到最新版本或使用替代PDF阅读器禁用IE6/7/8浏览器强制使用Edge或Chrome浏览器部署EDR工具监控异常进程和网络行为中优先级(1周内完成)制定老旧系统升级计划逐步淘汰Windows XP/2003系统加强邮件安全防护拦截包含PDF、Office等附件的恶意邮件配置网络防火墙限制445端口的访问范围开展员工安全意识培训提高对钓鱼邮件的识别能力4.3 第三阶段长期加固措施建立漏洞管理体系定期扫描和修复漏洞实施最小权限原则限制普通用户的系统权限部署网络分段防止攻击者横向移动建立应急响应预案定期进行演练关注CISA KEV目录的更新及时响应新的威胁五、前瞻性思考为什么老漏洞是最大的安全威胁本次KEV更新给我们带来了一个深刻的教训网络安全最大的敌人不是零日漏洞而是已知但未修复的漏洞。根据Verizon 2026年数据泄露调查报告85%的数据泄露事件是由于未修复已知漏洞导致的其中超过60%的漏洞是在披露一年以上才被利用的。为什么会出现这种情况主要有以下几个原因老旧系统难以升级很多企业的业务系统依赖老旧的操作系统和软件升级会导致业务中断补丁管理混乱企业缺乏统一的补丁管理体系补丁部署不及时、不全面安全意识不足很多企业认为老漏洞已经过时不会再被利用资源有限中小企业缺乏专业的安全人员和足够的安全预算未来的网络安全趋势将是攻击者越来越倾向于使用已知漏洞而不是零日漏洞。因为已知漏洞的利用代码已经公开利用难度低成功率高而且很多企业仍然没有修复这些漏洞。对于企业来说建立一个有效的漏洞管理体系及时修复已知漏洞比花费大量资金购买昂贵的安全设备更加重要。六、总结CISA本次KEV更新是一个强烈的警示信号它告诉我们网络安全没有过去时老漏洞永远不会过时。五个2008-2010年的活化石漏洞至今仍在被广泛利用说明大量政企内网仍然存在严重的安全隐患。而两个新的Microsoft Defender漏洞则直接突破了Windows系统的默认安全防线让杀毒软件变成了攻击者的帮凶。所有Windows环境都应该立即采取行动按照本文提供的处置指南完成漏洞检测和修复工作。同时企业应该建立长期的漏洞管理体系加强安全意识培训提高整体安全防护能力。记住在网络安全的世界里最危险的不是你不知道的漏洞而是你知道但没有修复的漏洞。
