微软2025年2月补丁日重点漏洞安全预警
微软2025年2月补丁日重点漏洞安全预警
原创 山石漏洞管理中心 山石网科安全技术研究院 2025-02-13 09:00
补丁概述
2025 年 2 月 11 日,微软官方发布了 2 月安全更新,针对 63 个 Microsoft CVE 和 4 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 4 个严重漏洞(Critical)、56 个重要漏洞(Important)、2 个中危漏洞(Moderate)和 1 个低危漏洞(Low)。从漏洞影响上看,有 25 个远程代码执行漏洞、20 个权限提升漏洞、
9 个拒绝服务漏洞、5 个欺骗漏洞、2 个安全功能绕过漏洞、1 个信息泄露漏洞和 1 个篡改漏洞。
63 个漏洞中,目前有漏洞 CVE-2025-21418、CVE-2025-21391 被发现在野利用,漏洞 CVE-2025-21194、
CVE-2025-21377 已被公开披露,有 9 个利用可能性较大的漏洞。
本次安全更新涉及多个 Windows 主流版本,包括 Windows 11、
Windows 10、Windows Server 2025 等;涉及多款主流产品和组件,如 Microsoft Edge、Microsoft Office Excel、Windows 电话服务、Windows Internet 连接共享
等。
重点关注漏洞
在野利用和公开披露漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2025-21418 |
7.8 |
WinSock 的 Windows 辅助功能驱动程序 |
|
CVE-2025-21391 |
7.1 |
Windows 存储 |
|
CVE-2025-21194 |
7.1 |
Microsoft Surface |
|
CVE-2025-21377 |
6.5 |
Windows NTLM |
-
CVE-2025-21418:WinSock 的 Windows 辅助功能驱动程序特权提升漏洞,已被发现在野利用。
基于堆的缓冲区溢出(CWE-122)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。 -
CVE-2025-21391:Windows 存储特权提升漏洞,已被发现在野利用。
成功利用该漏洞的攻击者
只能删除系统上的目标文件
。
此漏洞不允许泄露任何机密信息,但可能允许攻击者删除数据,包括可能导致服务不可用的数据。 -
CVE-2025-21194:Microsoft Surface 安全功能绕过漏洞
,已被公开披露
。
成功利用此漏洞需要攻击者在运行攻击之前首先获得对受限网络的访问权限。
此虚拟机监控程序漏洞与统一可扩展固件接口(UEFI)主机内的虚拟机有关。在某些特定硬件上,其可能会绕过 UEFI,这可能会导致虚拟机监控程序和安全内核受到损害。
- CVE-2025-21377:
NTLM 哈希泄露欺骗漏洞
,已被公开披露
。
此漏洞会将用户的 NTLMv2 哈希值泄露给攻击者,攻击者可利用此哈希值以用户身份进行身份验证。
用户与恶意文件的最少交互(例如单击、右键单击等除了打开或执行文件以外的操作)都有可能触发此漏洞。
利用可能性较大的漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2025-21376 |
8.1 |
Windows LDAP – 轻量级目录访问协议 |
|
CVE-2025-21400 |
8.0 |
Microsoft Office SharePoint |
|
CVE-2025-21358 |
7.8 |
Windows CoreMessaging |
|
CVE-2025-21367 |
7.8 |
Windows Win32 内核子系统 |
|
CVE-2025-21420 |
7.8 |
Windows 磁盘清理工具 |
|
CVE-2025-21419 |
7.1 |
Windows 安装文件清理 |
|
CVE-2025-21184 |
7.0 |
Windows CoreMessaging |
|
CVE-2025-21414 |
7.0 |
Microsoft DWM 核心库 |
-
CVE-2025-21376:Windows 轻量级目录访问协议(LDAP)远程代码执行漏洞,被标记为严重(Critical)漏洞。成功利用此漏洞需要攻击者赢得竞争条件。未经过身份验证的攻击者可以向易受攻击的 LDAP 服务器发送经特殊设计的请求,成功利用此漏洞可能导致缓冲区溢出,进而被利用来实现远程代码执行。
-
CVE-2025-21400:Microsoft SharePoint Server 远程执行代码漏洞。此攻击需要客户端连接到恶意服务器,并允许攻击者在客户端上获取代码执行。在基于网络的攻击中,已经过身份验证的攻击者需要至少作为站点所有者,并且可以在 SharePoint Server 中远程写入任意代码和执行代码。
-
CVE-2025-21358:Windows Core Messaging 特权提升漏洞。不受信任的指针解引用(CWE-822)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
-
CVE-2025-21367:Windows Win32 内核子系统特权提升漏洞。
Use-After-Free(CWE-416)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。 -
CVE-2025-21420:Windows 磁盘清理工具特权提升漏洞。文件访问前链接解析不当(链接跟随,CWE-59)
缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。 -
CVE-2025-21419:Windows 安装程序文件清理特权提升漏洞。此漏洞不允许泄露任何机密信息,但可能允许攻击者删除数据,包括可能导致服务不可用的数据。成功利用该漏洞的攻击者只能删除系统上的目标文件。
-
CVE-2025-21184、
CVE-2025-21414:Windows Core Messaging 特权提升漏洞。成功利用此漏洞需要攻击者收集特定于该环境的信息,并在利用之前采取额外的行动来准备目标环境。
成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVSS 3.1 Base Score高评分漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2025-21198 |
9.0 |
Microsoft 高性能计算包(HPC)Linux 节点代理 |
- CVE-2025-21198:Microsoft 高性能计算(HPC)打包远程代码执行漏洞。多种网络拓扑可用于连接高性能计算(HPC)资源,这些资源依赖于内部网络或私有网络,并且无论实施方式如何,都不会将 HPC 资源暴露给公共互联网。攻击者必须能够访问连接目标集群和节点的网络,并且必须向头节点发送特制的 HTTPS 请求,才能成功利用此漏洞。攻击者可以通过向目标头节点或 Linux 计算节点发送特制的 HTTPS 请求来利用此漏洞,从而获得对连接到目标头节点的其他集群或节点执行远程代码执行的能力。
严重漏洞(Critical)
|
CVE |
CVSS |
Tag |
|
CVE-2025-21177 |
8.7 |
Microsoft Dynamics 365 销售 |
|
CVE-2025-21381 |
7.8 |
Microsoft Office Excel |
|
CVE-2025-21379 |
7.1 |
Windows DHCP 服务器 |
-
CVE-2025-21177:Microsoft Dynamics 365 Sales 特权提升漏洞。微软已经完全缓解了这一漏洞,该服务的用户无需采取任何操作。
-
CVE-2025-21381:Microsoft Excel 远程执行代码漏洞。该漏洞以预览窗格为攻击途径,攻击者通过社会工程诱使受害者从网站下载并打开特制文件,从而导致对其计算机的本地攻击。
-
CVE-2025-21379:DHCP 客户端服务远程代码执行漏洞。攻击者必须将自己注入到目标和受害者请求的资源之间的逻辑网络路径中,以便读取或修改网络通信。此攻击仅限于与攻击者所在的相同网段相连接的系统。此攻击不能跨多个网络(例如广域网)执行,只能局限于同一网络交换机或虚拟网络上的系统。
处置建议
根据微软官方指引,尽快下载安装补丁包进行修复,也可开启 Windows 自动更新保证补丁包的自动安装。
Microsoft 2
月安全更新指引:
https://msrc.microsoft.com/update-guide/releaseNote/2025-Feb