不容错过的更新:Office 2016 与 Office 2019 支持终止

立即阅读
我们利用人工智能进行网站翻译,虽然我们力求准确,但不一定总是 100%精确。感谢您的理解。
首页/ 博客 / 分析 CVE-2025-21298:OPSWAT MetaDefender...
文件安全

分析 CVE-2025-21298:OPSWAT MetaDefender Core™ 如何防范零日攻击

作者: Stella Nguyen,高级产品营销经理
分享此贴

仅在 2025 年 1 月,NIST 就收到了惊人的4085 个漏洞,随着主动利用威胁的激增升级,今年开年的风险异常高。其中值得注意的是,CVE-2025-21298是 Microsoft Windows OLE 中的零点击 RCE(远程代码执行)漏洞,CVSS 得分为 9.8。该安全漏洞允许攻击者通过诱骗用户在 Outlook 中预览恶意 RTF 电子邮件(无需点击)来入侵系统。  

在本博客中,我们将剖析这一漏洞在技术上的细微差别,探究 OPSWAT MetaDefender Core如何缓解此类零日威胁,并为企业提供可行的建议。

了解脆弱性

利用零点击攻击技术

零点击攻击利用软件漏洞发起攻击,不需要用户进行任何交互。这意味着可以在用户设备上安装恶意软件或执行其他恶意操作,而无需目标用户点击链接、打开文件或采取任何行动,因此特别危险且难以检测。

CVE-2025-21298 攻击流程

利用 Windows OLE 漏洞的 CVE-2025-21298 零点击攻击流程示意图
CVE-2025-21298 攻击流程

该漏洞存在于 Windows OLE 系统中,特别是在 ole32.dll 图书馆的 UtOlePresStmToContentsStm 函数。该函数处理 OLE 存储结构内的数据转换,但包含一个内存损坏问题,攻击者可利用该问题执行任意代码。

攻击者通过电子邮件发送特制的包含恶意 OLE 对象的 RTF 文档。到达受害者系统后,当收件人在 Microsoft Outlook 中打开或预览邮件时,电子邮件客户端会处理附件。Windows OLE 系统与嵌入式对象接触,利用易受攻击的 UtOlePresStmToContentsStm 函数进行 OLE 处理。

在此阶段,该函数会尝试转换 OLE 存储结构中的数据,从而导致内存损坏。这种内存损坏会导致 RCE,使攻击者能够以与当前用户相同的权限在被入侵系统上执行任意命令。

GitHub上已经发布了针对 CVE-2025-21298 的概念验证漏洞,以重现这一攻击。  

利用OPSWAT MetaDefender Core防范零日漏洞

零日漏洞是现代网络安全中最具挑战性的威胁,因为它们出乎意料地出现,在供应商来不及发布补丁之前就会被利用。这些关键漏洞往往能立即入侵系统,给防御者以最短的反应时间。CVE-2025-21298 是一个特别危险的零日漏洞。 

OPSWAT MetaDefender Core 高级威胁检测与防御的前沿,提供多层安全防护机制,尤其能有效抵御CVE-2025-21298等零日攻击。该方案融合Metascan™MultiscanningDeep CDR™深度检测技术Adaptive Sandbox 技术,在威胁触及关键系统前实现精准拦截。

显示MetaDefender Core 在企业环境中阻止 CVE-2025-21298 零日威胁的图表
利用MetaDefender Core降低 CVE-2025-21298 风险

作为第一道防线,MetascanMultiscanning 扫描会扫描包含恶意 RTF 文件的电子邮件附件。34 个引擎中有 5 个能检测到 CVE-2025-21298。

MetascanMultiscanning 仪表板检测电子邮件附件中的 CVE-2025-21298
使用 MetascanMultiscanning检测 CVE-2025-21298

接下来,Deep CDR™ 技术通过主动清除文件中的潜在恶意元素来实现文件净化,同时保留文件的可用性。为降低与 CVE-2025-21298 相关的风险,我们首先在 Deep CDR™ 技术配置面板中为 RTF 格式启用“移除嵌入对象”功能

Deep CDR™ 技术配置面板的屏幕截图,其中已为 RTF 文件启用“移除嵌入对象”功能
在Deep CDR™技术配置中启用“移除嵌入对象”功能

启用后,Deep CDR™ 技术将识别该嵌入对象为可疑节点并清除 RTF。

扫描结果显示文件被标记为感染,嵌入对象已被Deep CDR™技术移除
扫描结果为 "已感染",对象已移除

Deep CDR™ 技术专注于恶意对象清除与文件净化,而Adaptive Sandbox 通过基于模拟的触发Sandbox 额外的防护层,用于检测恶意行为及入侵指标(IOCs)。 

实施建议

  1. 在电子邮件网关部署Deep CDR™技术,对所有包含嵌入式RTF文件的传入文件进行安全处理。 
  2. 配置Adaptive Sandbox ,在发送前安全引爆可疑文件。 
  3. 对潜在的开采企图实施全面监控。

企业为何信赖OPSWAT 的Advanced Threat Detection 和防御功能

包括金融、医疗保健和关键基础设施在内的各行各业的组织机构都依赖OPSWAT MetaDefender Core 实现以下功能:

  • 业界领先的零日防护:深度CDR™技术和Adaptive Sandbox 等先进安全措施,为应对新兴威胁Sandbox 无与伦比的防御能力。
  • 法规合规支持: OPSWAT 解决方案通过确保严格的文件清理策略,帮助遵守 GDPR、HIPAA 和 NIST 等安全标准。
  • 与现有安全基础设施无缝集成: MetaDefender Core 可与 SIEM、防火墙和端点防护平台集成,实现全面的威胁检测和防护。
  • 企业环境的可扩展性:专为处理大量数据而设计,在确保安全的同时不影响性能。

结束语

CVE-2025-21298对组织构成严重威胁,但通过采取主动安全措施,企业可有效防范灾难性数据泄露。OPSWAT CoreDeep CDR™技术、Multiscanning及Adaptive Sandbox ,为抵御零日攻击提供尖端防护。通过实施多层安全策略并OPSWAT先进威胁预防技术,企业可有效化解新兴网络威胁,守护关键资产安全。

标签

最新文章

订阅OPSWAT 简讯

获取最新的OPSWAT 公司更新、活动信息和 推动行业发展的新闻。
注册

关注我们的社交网站Media

请在您的 LinkedIn、Facebook、Twitter 和 YouTube 上关注OPSWAT ,了解更多信息!

通过OPSWAT 了解最新信息!

立即注册,即可收到公司的最新动态、 故事、活动信息等。
订阅