微软补丁日修复4个0Day和一共55个缺陷

会杀毒的单反狗 军哥网络安全读报 2025-02-12 01:04

导读

今天是微软 2025 年 2 月的补丁日，新补丁包含 55 个漏洞的安全更新，其中四个
0day
漏洞，有两个漏洞在攻击中被积极利用。

本月补丁日还修复了三个“严重”漏洞，均为远程代码执行漏洞。

各个漏洞类别的漏洞数量如下：
– 19 
个特权提升漏洞
– 2 
个安全功能绕过漏洞
– 22 
个远程代码执行漏洞
– 1 
个信息泄露漏洞
– 9 
个拒绝服务漏洞
– 3 
个欺骗漏洞
上述数字不包括 2 月 6 日修复的严重 Microsoft Dynamics 365 Sales 特权提升漏洞和 10 个 Microsoft Edge 漏洞。

两个被积极利用的0day漏洞

CVE-2025-21391 – Windows 存储特权提升漏洞

该漏洞可用于删除文件。微软的描述是：“攻击者只能删除系统上的目标文件。”“此漏洞不会泄露任何机密信息，但可能允许攻击者删除数据，其中可能包括导致服务不可用的数据。”

CVE-2025-21418 – Windows 辅助功能驱动程序的 WinSock 特权提升漏洞

这是另一个被积极利用的漏洞，但与另一个漏洞相比，它是一种更传统的特权提升。在这种情况下，经过身份验证的用户需要运行一个特制的程序，最终以 SYSTEM 权限执行代码。这就是为什么这些类型的漏洞通常与代码执行漏洞配对以接管系统的原因。

两个已公开披露的0day漏洞

CVE-2025-21194 – Microsoft Surface 安全功能绕过漏洞

微软表示，该漏洞是一个虚拟机管理程序漏洞，允许攻击绕过 UEFI 并破坏安全内核。

微软的建议解释道：“该虚拟机管理程序漏洞与统一可扩展固件接口 (UEFI) 主机内的虚拟机有关。”

“在某些特定硬件上，可能会绕过 UEFI，这可能导致虚拟机管理程序和安全内核受到损害。”

微软没有透露有关该漏洞的许多细节，但它很可能与研究人员上个月披露的 PixieFail 漏洞有关。

PixieFail 是一组九个漏洞，影响 Tianocore 的 EDK II 的 IPv6 网络协议栈，该协议栈被 Microsoft Surface 及其虚拟机管理程序产品使用。

CVE-2025-21377 – NTLM 哈希泄露欺骗漏洞

该漏洞会暴露 Windows 用户的 NTLM 哈希，从而允许远程攻击者以该用户的身份登录。

微软的建议解释道：“用户与恶意文件进行最小程度的交互，例如选择（单击）、检查（右键单击）或执行打开或执行文件以外的操作，都可能触发此漏洞。”

虽然微软尚未透露有关该漏洞的很多细节，但它可能与其他 NTLM 哈希泄露漏洞类似，只需与文件交互而不是打开文件，就可能导致 Windows 远程连接到远程共享。这样做时，NTLM 协商会将用户的 NTLM 哈希传递到远程服务器，攻击者可以收集该哈希。

然后可以破解这些 NTLM 哈希以获取纯文本密码或用于传递哈希攻击。

其他值得关注的漏洞

CVE-2025-21376 – Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞

安全专家呼吁关注CVE-2025-21376，它涵盖了 Windows 轻量级目录访问协议 (LDAP) 中的远程代码执行错误。

微软表示：“成功利用此漏洞需要攻击者赢得竞争条件。未经身份验证的攻击者可以向易受攻击的 LDAP 服务器发送特制请求。成功利用此漏洞可能导致缓冲区溢出，从而实现远程代码执行。”

据跟踪软件补丁的公司 ZDI 称，该漏洞应该被视为受影响的 LDAP 服务器之间的“蠕虫”。ZDI在一份公告（
https://www.zerodayinitiative.com/blog/2025/2/11/the-february-2025-security-update-review）中表示： “尽快测试并部署补丁。”

CVE-2025-21387 – Microsoft Excel 远程代码执行漏洞

这是预览窗格作为攻击媒介的几个 Excel 修复程序之一，可通过预览窗格利用，这意味着成功利用漏洞无需用户交互。需要多个补丁才能全面修复此问题。这很可能通过打开恶意 Excel 文件或在 Outlook 中预览恶意附件来利用。

新闻链接：

https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2025-patch-tuesday-fixes-4-zero-days-55-flaws/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事