Azure AI 人臉識(shí)別高危漏洞，微軟緊急修復(fù)，CVSS 評(píng)分逼近滿分

近日，科技領(lǐng)域傳來消息，知名科技媒體scworld于2月4日發(fā)布報(bào)道，披露了微軟成功修復(fù)其Azure AI人臉識(shí)別服務(wù)中存在的一項(xiàng)嚴(yán)重安全漏洞。該漏洞的CVSS（通用漏洞評(píng)分系統(tǒng)）評(píng)分高達(dá)9.9分，接近滿分，被視為一項(xiàng)極為危險(xiǎn)的遠(yuǎn)程提權(quán)漏洞。

Azure AI人臉識(shí)別服務(wù)，作為一項(xiàng)基于云計(jì)算的先進(jìn)技術(shù)，廣泛應(yīng)用于人臉檢測、分析及識(shí)別領(lǐng)域。開發(fā)者可借助該服務(wù)，輕松將人臉識(shí)別功能融入各類應(yīng)用程序中，實(shí)現(xiàn)生物識(shí)別身份驗(yàn)證、活體檢測、非接觸式訪問控制以及視頻人臉自動(dòng)編輯等多種功能。

此次被修復(fù)的漏洞編號(hào)為CVE-2025-21415，具體表現(xiàn)為一種欺騙性身份驗(yàn)證繞過漏洞。根據(jù)微軟安全響應(yīng)中心（MSRC）上周發(fā)布的官方安全更新，該漏洞允許已授權(quán)的攻擊者非法提升其在系統(tǒng)中的權(quán)限。這一漏洞的嚴(yán)重性不容忽視，因?yàn)樗试S攻擊者遠(yuǎn)程發(fā)起攻擊，且攻擊復(fù)雜度極低，無需受害用戶進(jìn)行任何形式的交互。

該漏洞對(duì)系統(tǒng)的機(jī)密性和完整性構(gòu)成了極大的威脅。一旦攻擊者成功利用這一漏洞，可能導(dǎo)致合法用戶完全喪失對(duì)Azure AI人臉識(shí)別服務(wù)的使用權(quán)限。因此，CVSS系統(tǒng)給出了9.9分的高危評(píng)分。

盡管目前尚無確鑿證據(jù)表明已有黑客成功利用這一漏洞進(jìn)行惡意攻擊，但微軟安全團(tuán)隊(duì)已經(jīng)確認(rèn)存在概念驗(yàn)證漏洞利用程序。據(jù)悉，這一漏洞是由一位匿名開發(fā)者向微軟報(bào)告的。在收到報(bào)告后，微軟迅速響應(yīng)，部署了相應(yīng)的修復(fù)程序。值得慶幸的是，此次修復(fù)無需客戶采取任何額外行動(dòng)，即可自動(dòng)解決該漏洞帶來的安全隱患。