四個漏洞，最老的那個補(bǔ)丁發(fā)布時iPhone 5還沒上市。美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）本周一把它們?nèi)M(jìn)"已知被利用漏洞目錄"，給聯(lián)邦機(jī)構(gòu)劃了4月27日的最后期限。

時間線：從2012到2025，漏洞的"永生"密碼

CVE-2012-1854，這個編號本身就是個時間膠囊。微軟在2012年7月推了安全修復(fù)，11月補(bǔ)了第二刀才算徹底封死。當(dāng)時Redmond的口徑很克制：" aware of limited, targeted attacks"——知道有少量針對性攻擊。13年過去，"少量"變成了"還在用"。

2023年的兩個漏洞也沒好到哪去。CVE-2023-21529是Exchange Server的反序列化漏洞，認(rèn)證攻擊者能遠(yuǎn)程執(zhí)行代碼。微軟2023年2月修完，上周自家威脅獵人團(tuán)隊就抓到現(xiàn)場：一個叫Storm-1175的犯罪團(tuán)伙正拿它當(dāng)入口，搭配另外15個漏洞，最終投放Medusa勒索軟件。

CVE-2023-36424藏在Windows日志文件系統(tǒng)驅(qū)動里，權(quán)限提升的老套路。CVE-2025-60710倒是新鮮——Windows的鏈接跟隨漏洞，去年11月披露，12月修完，現(xiàn)在已經(jīng)被CISA盯上。

四個漏洞里，CISA對勒索軟件使用的標(biāo)注全是"unknown"。但微軟自己承認(rèn)，至少CVE-2023-21529已經(jīng)被勒索團(tuán)伙玩過了。

Adobe的周末補(bǔ)丁：被利用數(shù)月的零日

同一天進(jìn)目錄的還有兩個Adobe漏洞。CVE-2020-9715是Acrobat的釋放后使用（use-after-free）漏洞，2020年的老面孔。CVE-2026-34621更棘手——原型污染（prototype pollution）漏洞，影響Acrobat和Reader，被當(dāng)成零日漏洞利用了數(shù)月，Adobe上周末才放出補(bǔ)丁。

零日被利用數(shù)月才修，這個節(jié)奏放在2026年依然成立。

CISA的警告：聯(lián)邦企業(yè)的"顯著風(fēng)險"

CISA的原話是："These types of vulnerabilities are frequent attack vectors for malicious cyber actors and pose significant risks to the federal enterprise." 這類漏洞是惡意攻擊者的常用向量，對聯(lián)邦機(jī)構(gòu)構(gòu)成顯著風(fēng)險。

翻譯一下：攻擊者懶得找新洞，舊洞夠用了。

聯(lián)邦機(jī)構(gòu)的補(bǔ)丁期限是4月27日，兩周窗口。對普通企業(yè)，CISA的建議是"盡快"——但沒有強(qiáng)制力，只有目錄本身的威懾。

微軟這邊，我們問了漏洞利用的范圍和攻擊者身份，還沒收到回復(fù)。

漏洞經(jīng)濟(jì)學(xué)：為什么14年前的洞還在營業(yè)

一個2012年的VB漏洞能活到2026年，背后是一套清晰的成本計算。攻擊者端：研究新漏洞需要投入，舊漏洞的利用鏈成熟、文檔齊全、工具現(xiàn)成。防御者端：遺留系統(tǒng)、兼容性顧慮、補(bǔ)丁管理流程的滯后，讓"已知"不等于"已修"。

Storm-1175的操作手冊很典型——不追求單點突破，而是用CVE-2023-21529打頭陣，再串聯(lián)15個其他漏洞。這種"漏洞鏈"思維，讓單個補(bǔ)丁的價值被稀釋。

Medusa勒索軟件的投放路徑也說明問題：初始訪問→數(shù)據(jù)竊取→加密勒索。Exchange Server作為郵件中樞，一旦被拿下，橫向移動的跳板天然充足。

Adobe的CVE-2026-34621被利用數(shù)月才修補(bǔ)，則暴露了另一個盲區(qū)。原型污染這類漏洞在JavaScript生態(tài)里討論較多，但在PDF閱讀器里的利用鏈，防御方的檢測和響應(yīng)明顯慢了一拍。

補(bǔ)丁的半衰期可能比放射性元素還長。2012年的修復(fù)、2023年的修復(fù)、2025年的修復(fù)，在2026年的攻擊流量里依然共存。CISA的目錄越滾越長，已知被利用漏洞的數(shù)量曲線，某種程度上就是攻擊者"庫存周轉(zhuǎn)率"的鏡像。

聯(lián)邦機(jī)構(gòu)的4月27日死線，是行政命令的剛性約束。但企業(yè)網(wǎng)絡(luò)的補(bǔ)丁覆蓋率，從來不是靠目錄能解決的。微軟和Adobe的漏洞通告、CISA的預(yù)警、安全廠商的威脅情報，信息足夠多，執(zhí)行永遠(yuǎn)是短板。

我們還在等微軟的回復(fù)。一個合理的問題是：當(dāng)14年前的漏洞和上個月的新漏洞并列出現(xiàn)在同一份攻擊報告里，補(bǔ)丁管理的優(yōu)先級算法，到底該怎么寫？