1. 漏洞的詳細技術分析

1.1. 核心漏洞機制：.msc 檔案操作與 MUIPath 濫用

Microsoft Management Console (MMC) 是作業系統中的基礎框架，提供一個統一的介面，透過稱為 snap-ins 的管理工具來管理各種系統元件 。這些管理設定通常儲存為 Microsoft Console (.msc) 檔案，這些檔案封裝了特定管理任務所需的 snap-ins 及其設定 。現代作業系統的一個關鍵特性是支援多語言，透過 Multilingual User Interface Path (MUIPath) 等功能實現 。MUIPath 機制被用來定位特定語言的資源，例如本地化的文字和對話框，確保應用程式能提供符合使用者偏好語言的使用體驗。

CVE-2025-26633 漏洞利用了 MUIPath 功能的微妙但有效的操作 。具體來說，攻擊者可以利用 mmc.exe 處理 MUIPath 的方式來執行惡意的 .msc 檔案 。攻擊涉及在 MUIPath en-US 目錄（對應於預設系統語言：英文 - 美國）中植入一個精心製作的惡意 .msc 檔案 。關鍵在於，這個惡意檔案與使用者可能嘗試執行的合法 .msc 檔案同名 。因此，當使用者執行預期的無害 .msc 檔案時，由於 MUIPath 被操控， mmc.exe 程序會無意中載入並執行位於 en-US 目錄中的惡意版本 。這種替換在使用者毫不知情的情況下發生，有效繞過了預期的安全措施。利用合法的本地化功能來實現惡意目的，顯示出對作業系統內部機制的深入理解，使潛在的隱秘惡意程式碼執行成為可能。

1.2. GetFileMUIPath 函式的角色

要精確理解此漏洞的機制，必須檢視透過 mmc.exe 開啟 .msc 檔案時的執行流程 ^{1, 2} 。流程從 ScOnOpenDocument 函式開始，該函式負責處理控制台文件的開啟 ^{1, 2} 。在此函式呼叫鏈中，會呼叫 scGetMuiPath 函式 ^{1, 2} 。 scGetMuiPath 的主要職責是判斷 MUIPath 中是否存在特定語言版本的 .msc 檔案 ^{1, 2} 。為此， scGetMuiPath 使用了 Windows API 中的 GetFileMUIPath ^{1, 2} 。此 API 函式被設計來取得與給定輸入檔案相關的多語言使用者介面 (MUI) 檔案路徑（如果存在） ^{1, 2}。

漏洞源於 mmc.exe 根據 GetFileMUIPath 輸出的後續邏輯。如果 MUIPath 中存在 en-US 目錄， mmc.exe 會優先載入該目錄中 .msc 檔案的 XML 內容 ^{1, 2} 。無論原始預期的 .msc 檔案是否也存在於其預定位置，這種情況都會發生 ^{1, 2} 。相反，如果 en-US 目錄不存在，則會載入並執行原始選擇的 .msc 檔案內容，如預期般運作 ^{1, 2} 。這種條件性載入行為，即特定語言目錄的存在會觸發從中載入內容（即使該內容是與合法檔案同名的惡意檔案），構成了漏洞的核心。這種設計選擇原本是為了方便無縫本地化，但無意中為攻擊者創造了機會，使其能透過控制 MUIPath 的內容來替換合法檔案。

1.3. MSC EvilTwin Loader 分析

CVE-2025-26633 的利用通常由一個名為 MSC EvilTwin loader 的元件協助實現 。此 loader 通常以 Script 形式實現，經常使用 PowerShell 編寫，其目的為自動化利用漏洞的各個步驟 。對目標系統的初始存取通常包含傳遞一個數位簽署的 Microsoft Installer (MSI) 檔案 。此 MSI 檔案常偽裝成合法的軟體安裝程式，有時冒充熱門應用程式 。數位簽章可能給不知情的用戶帶來虛假的安全感，增加其執行的可能性 。

一旦執行，MSC EvilTwin loader 會繼續下載並在被滲透的系統上執行進一步的 Malicious payload 。這種多階段方法允許攻擊者部署一系列針對其目標量身定制的惡意工具，可能包括建立持久存取、竊取敏感資訊或部署勒索軟體 。使用 loader 表明這是一種深思熟慮且通常複雜的攻擊策略，其中初始漏洞作為部署更先進惡意功能的入口。這種方法為攻擊者提供了靈活性，使其能根據被滲透環境的特徵調整後續行動。

1.4. "Mock Trusted Directories" 技術

除了 MUIPath 操作外，MSC EvilTwin loader 還經常使用另一種技術來實現其惡意目標：建立 "mock trusted directories" ^{1, 2} 。這涉及建立表面上類似標準系統路徑的目錄，透過在名稱中加入細微變化，例如尾隨空格或特殊字符 ^{1, 2} 。例如，惡意行為者可能創建一個名為 "C:\Windows \System32" 的目錄（注意 "Windows" 後的空格），而不是合法的 "C:\Windows\System32" ^{1, 2} 。

這種技術利用了應用程式路徑驗證邏輯中的潛在弱點 ^{1, 2} 。如果應用程式在嘗試載入資源前未正確清理或標準化檔案路徑，可能會被誘導將修改後的目錄視為等同於真實系統路徑 ^{1, 2} 。因此，應用程式可能無意中載入這些假造的目錄中的惡意檔案，而不是從實際系統目錄中載入預期的合法檔案 ^{1, 2} 。這種技術在處理具有提升存取權限的應用程式載入函式庫或可執行檔案時尤為重要，因為它可能導致權限提升或在可信環境中執行惡意程式碼 ^{1, 2} 。已觀察到 MSC EvilTwin loader 使用此方法將惡意版本的 WmiMgmt.msc 放入此類造假的目錄中 ^{1, 2} 。這顯示出對常見程式設計疏忽的清晰理解，並透過操作基本檔案載入機制，實現持久性或更深層系統危害的策略性努力。

2. 攻擊場景與技術

觀察到的利用 CVE-2025-26633 的攻擊鏈通常始於誘使用戶下載惡意安裝檔案，通常是一個數位簽章並偽裝成合法軟體（例如熱門通訊或協作工具）的 MSI 檔案 。此初始安裝程式作為 dropper，從遠端伺服器獲取並執行 MSC EvilTwin loader 。接著，loader 在受害者系統上建立兩個同名的 .msc 檔案 。其中一個是看似合法的乾淨 .msc 檔案，另一個是放置在新建或現有 "en-US" 目錄中的惡意版本 。此 "en-US" 目錄位於英文（美國）語言的標準 MUIPath 中 。

當用戶隨後嘗試執行合法的 .msc 檔案（或某個程序試圖存取它）時，由於 MUIPath 中 en-US 目錄中存在惡意檔案， mmc.exe 程序會載入並執行惡意版本，而不是預期的乾淨檔案 。這種執行在用戶不知情或未同意的情況下發生，有效繞過了可能針對原始檔案設定的標準安全檢查 。在初始執行後，loader 通常會下載並執行進一步的 Malicious payload ，可能包括用於持久存取的後門和目的為竊取敏感資料的資訊竊取程式 。

此外，已觀察到威脅行為者利用 MMC 的 ActiveX 控制 snap-in 中的 ExecuteShellCommand 方法來促進額外 Payload 的下載與執行 。此技術涉及使用特別製作的 .msc 檔案，這些檔案在 ActiveX 控制中嵌入了 Shockwave Flash Object 。此物件可用於開啟網頁瀏覽器並隨後在受害者機器上執行 shell 命令 。值得注意的是，利用此漏洞需要一定程度的使用者互動，因為受害者最終必須開啟惡意或看似合法的 .msc 檔案來觸發攻擊 。雖然攻擊的技術層面相當複雜，但初始進入點通常依賴社交工程策略來說服用戶與惡意檔案互動。

3. 潛在技術影響

成功攻擊 CVE-2025-26633 對受影響的系統帶來重大的技術影響。主要影響是攻擊者能夠在被滲透的機器上實現任意程式碼執行 。這種能力賦予攻擊者以啟動惡意 .msc 檔案的用戶相同權限級別執行任何命令或程式的權力 。這可能導致廣泛的惡意攻擊，具體取決於攻擊者的目標。

成功攻擊的一個常見結果是安裝持久後門 。這些後門允許攻擊者長期未經授權存取被滲透的系統，使其能隨意執行進一步行動 。此外，執行任意程式碼的能力為敏感資料竊取開啟了大門 。攻擊者可利用其存取權定位並竊取系統上儲存的機密資訊，可能導致重大資料外洩 。

除了這些直接影響外，透過 CVE-2025-26633 危害系統可能成為進一步惡意攻擊的跳板 。攻擊者可能利用最初滲透的系統在網路中橫向移動，存取其他敏感資源 。此外，該漏洞可能被用來部署勒索軟體，加密受害者的資料並要求贖金以恢復 。系統完全滲透及後續惡意行動的潛在性凸顯了此安全缺陷的嚴重性。

4. 技術緩解與修復

軟體供應商於 2025 年 3 月 11 日發布了安全更新程式，解決了 CVE-2025-26633 漏洞 。將此更新程式應用於所有受影響的系統對於防止潛在攻擊至關重要 ^{1, 2, 3} 。用戶和管理員應參閱供應商的安全更新指南，了解更新程式的具體細節及其安裝方法 ^{1, 4} 。雖然提供的片段未包含更新程式本身的技術細節，但它指向相關資源 ⁴ 。安全廠商也在其產品中實施了保護措施，以檢測並阻止針對此漏洞的攻擊嘗試 ^{1, 2} 。例如，已部署了用於識別與此漏洞利用相關的惡意網路流量的入侵防護過濾器 ^{1, 2} 。

除了應用官方更新程式外，遵循一些通用的最佳實踐也能幫助減輕類似漏洞的風險。用戶在開啟檔案（特別是來自不受信任來源的 .msc 檔案，例如電子郵件附件或未經驗證發件人的連結）時應極度謹慎 ^{1, 2, 3} 。保持軟體安裝（包括作業系統和所有應用程式）更新至最新的安全更新程式，對於解決已知漏洞至關重要 ^{1, 2, 3} 。實施強大的端點安全解決方案，例如防毒軟體和入侵檢測系統，可為防範攻擊嘗試提供額外的防護層。雖然更新仍是主要且最有效的緩解策略，但用戶意識和採取主動安全措施在減少攻擊面和降低成功攻擊可能性方面也扮演著關鍵角色。

5. 與類似漏洞的比較分析

CVE-2025-26633 與 CVE-2024-43572 有顯著相似之處，後者是另一個影響 Microsoft Management Console 並在野外被積極利用的安全漏洞 。CVE-2024-43572 於 2024 年 10 月修復，是一個遠端程式碼執行 (RCE) 漏洞，同樣涉及 Microsoft Saved Console (.msc) 檔案的操作 。這兩個漏洞都突顯了 MMC 框架內處理 .msc 檔案的固有風險。然而，雖然 CVE-2024-43572 允許遠端程式碼執行，CVE-2025-26633 被分類為安全功能繞過漏洞 ^{1, 5, 6, 7} 。儘管分類不同，這兩個漏洞都被威脅行為者用來在目標系統上執行惡意程式碼，強調了持續利用 MMC 框架弱點進行惡意目的的興趣。

解決 CVE-2025-26633 的安全更新還包括對眾多其他漏洞的更新，其中許多被分類為遠端程式碼執行 (RCE) 和權限提升 (EoP) 漏洞 ^{1, 5, 3} 。其中，CVE-2025-24983 是一個突出例子，這是一個位於 Windows Win32 Kernel Subsystem 中的 Zero-day 漏洞，允許經過身份驗證的攻擊者獲得本機 SYSTEM 權限 ^{1, 5, 3} 。此外，CVE-2025-24993 和 CVE-2025-24985 被確認為影響 NTFS 和 Fast FAT 檔案系統的 RCE 漏洞，且已被積極利用 ^{1, 5, 3} 。在同一更新週期內多個 Zero-day 漏洞同時被利用，凸顯了持續且不斷演變的威脅格局，複雜的威脅行為者積極尋找並利用廣泛使用軟體中的弱點。

特性	CVE-2025-26633 (MSC EvilTwin)	CVE-2024-43572
漏洞類型	安全功能繞過	遠端程式碼執行
目標元件	Microsoft Management Console (MMC)	Microsoft Management Console (MMC)
利用方法	MUIPath 操作以載入惡意 .msc 檔案	操作 MSC 檔案，可能透過惡意 snap-ins
野外利用 (Exploit in the wild)	是	是
更新發布日期	2025 年 3 月	2024 年 10 月

6. 結論與未來安全考量

總結來說，CVE-2025-26633 是 Microsoft Management Console 中的一個重大安全功能繞過漏洞。它允許攻擊者透過操作 Multilingual User Interface Path，在呼叫同名的合法檔案時載入並執行惡意 .msc 檔案。這種漏洞的利用通常由 MSC EvilTwin loader 和 "mock trusted directories" 等技術協助，凸顯了威脅行為者在利用看似無害的功能進行惡意目的上的創意。觀察到的攻擊鏈通常涉及社交工程來傳遞初始惡意安裝程式，隨後利用 MMC 漏洞部署進一步的 Payload，可能導致持久存取、資料竊取和其他有害攻擊。

攻擊者針對語言資源路徑等功能的行為，強調了考慮所有軟體功能安全影響的重要性，即使這些功能看似與程式碼執行無直接關聯。及時應用供應商提供的更新程式是減輕 CVE-2025-26633 風險的最關鍵步驟。此外，遵循一般安全最佳實踐，例如對不受信任的檔案保持謹慎並保持軟體更新，對於維持強大的安全態勢仍然至關重要。持續發現和利用 Zero-day 漏洞，強調了主動漏洞研究、負責任披露以及快速部署安全更新的持續需求，以保護系統免受不斷演變的威脅。未來的攻擊趨勢可能繼續探索類似技術，針對涉及檔案載入或資源檢索的其他軟體元件或功能，因此全面理解這些機制對於有效防禦至關重要。

參考資料

1. [1, 2] Trend Micro Analysis of CVE-2025-26633
2. [4] Microsoft Security Update Guide for CVE-2025-26633
3. [5] Rapid7 Analysis of March 2025 Patch Tuesday
4. [5] Tenable Analysis of March 2025 Patch Tuesday
5. [6] NIST NVD Entry for CVE-2025-26633
6. [8] University of Hawaii Analysis of MMC Vulnerability
7. [7] Trend Micro ZDI Blog on March 2025 Security Updates
8. [3] CrowdStrike Analysis of March 2025 Patch Tuesday
9. Zero-day/743558/" target="_blank"> Cybersecurity Dive Article on CVE-2025-26633 Exploitation
10. Zero-day-to.html" target="_blank"> The Hacker News Article on CVE-2025-26633 Exploitation
11. Zero-day-before-patch/" target="_blank"> SecurityWeek Article on CVE-2025-26633 Exploitation