2026.01.13
2025年是零點擊漏洞肆虐的一年
2025年零點擊攻擊的復雜程度和規模代表了一種范式轉變——便利性已成為漏洞,那些為實現無縫用戶體驗而設計的隱形功能,如今卻變成了高級持續性威脅(APT)的隱秘通道。谷歌威脅情報小組記錄顯示,2024年有75個0Day漏洞被積極利用,這一趨勢在2025年加速發展,攻擊者將目標轉向企業基礎設施。僅2025年上半年,新披露的CVE漏洞就超過21,500個,較上年增長18%。
更令人擔憂的是,"漏洞利用時間窗口"從往年的32天驟降至2024年的平均僅5天,使得傳統的月度補丁周期變得危險而過時。這種加速反映出國家行為體、商業監控供應商(CSV)和精英勒索軟件組織部署的復雜自動化管道,他們已將漏洞利用過程工業化。零點擊漏洞曾僅用于頂級網絡間諜活動,如今已成為全威脅領域的首選武器。
1、移動平臺遭受攻擊
蘋果生態系統長期被視為安全堡壘,卻在2025年持續遭受猛烈攻擊。8月披露的(CVE-2025-43300)揭示了ImageIO框架中一個嚴重的越界寫入漏洞,影響iOS、iPadOS和macOS系統。該漏洞允許通過即時通訊應用發送的惡意DNG圖像實現零點擊遠程代碼執行,完全無需用戶交互。當與(CVE-2025-55177)——一個涉及WhatsApp關聯設備同步消息授權不完整的漏洞——串聯利用時,該漏洞變得尤為危險。這些漏洞共同構成了針對歐洲和中東記者及民間社會人士的毀滅性零點擊攻擊鏈。
WhatsApp確認有不到200名用戶在復雜的間諜軟件活動中成為目標,受害者包括人權捍衛者和媒體專業人士。Paragon Solutions的Graphite間諜軟件利用了(CVE-2025-43200),這是iOS中的一個邏輯缺陷,允許通過iCloud鏈接分享的惡意制作照片或視頻觸發遠程代碼執行,無需用戶交互。公民實驗室(Citizen Lab)的取證分析以高度可信度證實 ,歐洲記者在運行iOS 18.2.1(當時最新的系統版本)時遭到入侵。蘋果在iOS 18.3.1中修補了該漏洞,但直到2025年6月才公開披露,凸顯出現代網絡攻防的貓鼠游戲本質。
三星Galaxy設備也未能幸免。(CVE-2025-21042)在三星2025年4月補丁前作為0Day漏洞被利用,通過WhatsApp發送的惡意DNG圖像文件傳播LANDFALL間諜軟件。這款商業級Android間諜軟件針對包括Galaxy S22-S24系列在內的旗艦設備,提供全面的監控能力,包括通話錄音、位置跟蹤和信息竊取,而用戶完全不知情。
iVerify在2025年6月發現的NICKNAME漏洞暴露了iOS imagent進程中的釋放后使用(use-after-free)內存破壞缺陷。通過iMessage快速發送昵稱更新觸發,這一零點擊漏洞出現在不到0.001%的崩潰日志中,但主要影響美國和歐盟的知名人士,包括政治人物、記者和AI公司高管。雖然蘋果在iOS 18.3中修補了該漏洞,但取證的證據表明,有針對利益相關個人的活躍攻擊。
當移動平臺占據頭條時,企業基礎設施已成為攻擊者的首選獵場。(CVE-2025-21298)是一個CVSS評分9.8的Windows OLE漏洞,允許通過Microsoft Outlook中特制的RTF文檔實現零點擊遠程代碼執行。當受害者打開甚至只是預覽惡意郵件時,該漏洞會自動觸發,賦予攻擊者完全系統權限。
微軟的AI生態系統也未能幸免。(CVE-2025-32711)被命名為EchoLeak,是首個針對AI Agent的零點擊漏洞。該嚴重漏洞(CVSS 9.3)存在于Microsoft 365 Copilot中,攻擊者只需發送一封精心設計的郵件,無需用戶點擊,就能竊取敏感組織數據。該漏洞利用了Copilot的檢索增強生成引擎將不受信任的外部輸入與特權內部數據混合的方式,通過嵌入圖像引用創建自動數據泄露路徑。
OpenAI的ChatGPT深度研究Agent成為ShadowLeak的受害者,這是一個零點擊服務器端漏洞,可實現靜默Gmail數據竊取。當連接到Gmail并瀏覽時,一封包含隱藏提示注入命令的惡意郵件就能觸發AI Agent從OpenAI云基礎設施自主竊取敏感收件箱信息,不留下任何企業防御可檢測的網絡痕跡。
蘋果的AirPlay協議隱藏著一組共17個漏洞,統稱為AirBorne。其中最危險的組合(CVE-2025-24252)和(CVE-2025-24206)允許對同一網絡中的macOS設備進行零點擊遠程代碼執行。
這些漏洞特別危險之處在于其可蠕蟲傳播的特性:惡意代碼無需人工干預即可自主從一臺設備傳播到另一臺設備。(CVE-2025-24132)將這一威脅擴展到使用AirPlay SDK的第三方設備,包括智能音箱和CarPlay系統。
React2Shell漏洞(CVE-2025-55182)獲得了CVSS滿分10.0,表明React Server Components和Next.js中存在嚴重的未認證遠程代碼執行缺陷。影響React 19.x和Next.js 15.x/16.x版本,這一不安全的反序列化漏洞允許攻擊者通過單個惡意HTTP請求執行任意代碼,危害跨多個組織的數百臺機器。
2025年給我們上了深刻的一課。首先,零點擊攻擊不再是理論威脅,而是針對特定個人和組織的精準、活躍且不斷演變的現實威脅。其次,補丁速度至關重要:5天的漏洞利用窗口要求自動化、即時更新機制。第三,縱深防御策略仍然必不可少,因為僅靠邊界防御無法阻止零點擊滲透。
采用基于風險的補丁管理,優先處理被積極利用的漏洞,實施限制橫向移動的零信任架構,部署行為分析以檢測入侵后活動,并為高風險用戶啟用平臺特定保護措施,如iOS鎖定模式。隨著2025年結束,信息已明確無誤:零點擊漏洞利用已從精英間諜工具轉變為主流攻擊媒介。推動我們數字生活的便利功能——自動消息解析、無縫協議處理和智能AI Agent——已成為雙刃劍。防御這一新現實需要從基本原則重新思考安全,持續驗證信任,并將每個自動化流程視為潛在攻擊向量。
源:https://cybersecuritynews.com/one-year-of-zero-click-exploits/,本文版權歸原作者所有,如有侵權請聯系我們及時刪除.
上一篇:擬人化人工智能商品化的5個安全雷區
下一篇:擊者操縱大語言模型實現漏洞利用自動化
云計算業務承載平臺