Aggregator

微软已确认Windows 11 24H2版本存在一处高危漏洞：自2025年7月起发布的累计更新在系统部署过程中，会导致文件资源管理器、开始菜单及其他关键系统组件崩溃。

该漏洞的触发场景包括两种：一是“安装累计更新后的首次用户登录”；二是使用非持久性操作系统安装环境（如虚拟桌面基础架构环境）的用户每次登录时——此类环境中应用包需在每个会话周期重新安装。在受影响的系统中，更新后XAML依赖包无法正常注册，进而导致Windows 11多个核心外壳组件出现故障。

微软在近期发布的支持文档中解释称，依赖XAML包（具体为MicrosoftWindows.Client.CBS、Microsoft.UI.Xaml.CBS和MicrosoftWindows.Client.Core）的应用程序，在更新安装后未能及时完成注册。这一计时同步问题会在系统中连锁扩散，导致关键界面组件无法正常初始化。

最终造成Explorer.exe（文件资源管理器进程）、StartMenuExperienceHost（开始菜单体验主机进程）、ShellHost.exe（外壳主机进程）等外壳组件出现显性错误崩溃或隐性运行失败，用户系统将陷入部分功能失效状态，无法正常显示各类导航工具。

受影响用户可能遭遇多种问题，包括：开始菜单崩溃（常伴随严重错误提示）、文件资源管理器运行时任务栏缺失、核心ShellHost进程（外壳基础结构主机或Windows外壳体验主机）崩溃、设置应用静默启动失败等。

微软表示：“在部署了2025年7月及之后发布的Windows 11 24H2月度累计更新（KB5062553及后续版本）后，开始菜单体验主机、搜索、系统设置、任务栏或文件资源管理器等多个应用可能出现运行异常。”

提供临时解决方案

微软称目前正推进修复方案开发，但尚未给出具体修复时间线。在永久性补丁发布前，微软提供了通过PowerShell命令手动注册缺失包的临时解决方法。

受影响用户需执行以下三条Add-AppxPackage命令（分别针对每个受影响的XAML包），随后重启系统即可恢复功能：

 Add-AppxPackage -Register -Path 'C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\appxmanifest.xml' -DisableDevelopmentMode Add-AppxPackage -Register -Path 'C:\Windows\SystemApps\Microsoft.UI.Xaml.CBS_8wekyb3d8bbwe\appxmanifest.xml' -DisableDevelopmentMode Add-AppxPackage -Register -Path 'C:\Windows\SystemApps\MicrosoftWindows.Client.Core_cw5n1h2txyewy\appxmanifest.xml' -DisableDevelopmentMode

然而，该漏洞对采用虚拟桌面基础架构管理非持久性企业环境的机构影响尤为严重——此类环境中员工每次登录都需重新部署应用程序。 

对此，微软建议在非持久性操作系统安装环境中部署登录脚本，确保该脚本在文件资源管理器启动前执行。该批处理文件包装器可保证桌面环境加载前所需包已完全部署，从而避免计时竞争条件引发的故障。

上周，英伟达也发布了GeForce热修复显示驱动程序，以解决2025年10月Windows 11累计更新（KB5066835）引发的游戏性能问题；与此同时，微软发布了带外紧急更新，修复了扩展安全更新（ESU）安装错误及Windows 11热补丁安装循环问题。

Grafana Labs 发布安全预警，其企业版产品中存在一处最高严重级别漏洞（CVE-2025-41115）。攻击者可利用该漏洞将新创建用户伪装成管理员，或实现权限提升操作。

需注意的是，该漏洞仅在跨域身份管理系统配置并启用的场景下可被利用。具体而言，只有当“enableSCIM”功能开关与“user_sync_enabled”选项均设置为“true”时，恶意或已被劫持的 SCIM 客户端才能通过配置“数字格式 externalId”的方式，将新用户关联到包括管理员在内的内部账号。其中，externalId 是身份提供商用于追踪用户的 SCIM 记账属性。

由于 Grafana 会将该属性值直接映射到内部用户的“user.uid”字段，像“1”这样的数字格式 externalId 可能被系统识别为已存在的内部账号，进而导致账号冒充或权限提升风险。 

根据 Grafana 官方文档，SCIM 配置功能目前处于“公开预览”阶段，支持力度有限，因此该功能的实际应用范围可能并不广泛。 

Grafana 作为一款数据可视化与监控平台，用户群体覆盖各类组织——从小型初创企业到知名大型企业均在使用。其核心功能是将指标数据、日志及其他运维数据转化为可视化仪表盘、告警通知与分析报告。

Grafana Labs 表示：“在特定场景下，该漏洞可能导致新配置的用户被识别为已存在的内部账号（如管理员账号），进而引发账号冒充或权限提升风险。”

漏洞影响范围与修复方案

CVE-2025-41115 漏洞影响 Grafana 企业版 12.0.0 至 12.2.1 版本（需满足 SCIM 已启用的条件）。其中，Grafana 开源版（OSS）用户不受影响；Grafana 云服务（包括亚马逊托管 Grafana、Azure 托管 Grafana）已完成补丁部署。 

对于自托管部署的管理员，可通过安装以下任一更新版本修复漏洞：

·Grafana 企业版 12.3.0

·Grafana 企业版 12.2.1

·Grafana 企业版 12.1.3

·Grafana 企业版 12.0.6 

漏洞发现与处置时间线

该漏洞于 11 月 4 日在内部审计过程中被发现，约 24 小时后 Grafana 团队便推出了安全更新。在此期间，Grafana Labs 经调查确认，该漏洞未在 Grafana 云服务中被实际利用。11 月 19 日，官方正式发布安全更新及配套公告。官方建议 Grafana 用户尽快安装可用补丁，或通过修改配置（禁用 SCIM 功能）阻断潜在攻击路径。

上月，实时情报公司 GreyNoise 曾报告针对 Grafana 旧版路径遍历漏洞的扫描活动异常增多。研究人员此前指出，这类扫描活动可能是为探测暴露的 Grafana 实例，为后续新漏洞披露后的攻击做准备。目前，Grafana Labs 已向客户推送补丁版本，并完成相关防护配置部署，且Grafana 开源版用户不受此漏洞影响。

Modern cybersecurity faces an escalating challenge: fileless malware and obfuscation techniques increasingly bypass traditional file-based detection methods. To address this growing threat, JPCERT/CC has released YAMAGoya. This open-source threat hunting tool leverages industry-standard detection rules to identify suspicious activity in real time. YAMAGoya represents a significant advancement in endpoint threat detection by combining Event Tracing […]

The post YAMAGoya – Real-Time Threat Monitoring Tool Using Sigma and YARA Rules appeared first on Cyber Security News.

New release brings significant improvements to the penetration testing framework, introducing enhanced GUI features, REST API support, and powerful new evasion techniques that security researchers can leverage for offensive operations. The latest release features a completely redesigned graphical interface with multiple theme options, including Dracula, Solarized, and Monokai. All visualizations have been updated, including an […]

The post Cobalt Strike 4.12 Released With New Process Injection, UAC Bypasses and Malleable C2 Options appeared first on Cyber Security News.