微软2025年3月补丁日重点漏洞安全预警

原创 山石漏洞管理中心 山石网科安全技术研究院 2025-03-14 17:15

微软官方发布3月安全更新‍

请及时安装补丁修复‍

---

补丁概述

2025年3月11日，微软官方发布了3月安全更新，针对57个Microsoft CVE和10个non-Microsoft CVE进行修复。Microsoft CVE中，包含6个严重漏洞（Critical）、50个重要漏洞（Important）和1个低危漏洞（Low）。从漏洞影响上看，有23个远程代码执行漏洞、22个特权提升漏洞、4个欺骗漏洞、4个信息泄露漏洞、
3个安全功能绕过漏洞和
1个拒绝服务漏洞。

57个漏洞中，目前有漏洞CVE-2025-24985、CVE-2025-24993、CVE-2025-24983、CVE-2025-26633、CVE-2025-24991、CVE-2025-24984被发现在野利用，漏洞CVE-2025-26630已被公开披露，有10个更有可能被利用的漏洞。

本次安全更新涉及多个Windows主流版本，包括Windows 11、Windows 10、Windows Server 2025等；涉及多款主流产品和组件，如Microsoft Office、Windows NTFS、Windows USB视频驱动程序、Microsoft Office Excel、Microsoft Office Word、Windows远程桌面服务等。

重点关注漏洞

在野利用和公开披露漏洞

– CVE-2025-24985
：
Windows FAST FAT文件系统驱动程序远程代码执行漏洞
，已被发现在野利用。攻击者
或受害者需要从本地设备执行代码才能利用该漏洞，因此攻击者需要诱骗易受攻击系统上的本地用户安装特制 VHD，然后触发该漏洞。

• CVE-2025-24993
  ：Windows NTFS远程执行代码漏洞，已被发现在野利用
  。
  攻击者
  或受害者需要从本地设备执行代码才能利用该漏洞，因此攻击者需要诱骗易受攻击系统上的本地用户安装特制VHD，然后触发该漏洞。

• CVE-2025-24983
  ：
  Windows Win32内核子系统特权提升漏洞，
  已被发现在野利用
  。
  成功利用此漏洞需要攻击者赢得竞争条件，成功利用此漏洞后可以获得SYSTEM特权。

• CVE-2025-26633
  ：
  Microsoft管理控制台安全功能绕过漏洞，
  已被发现在野利用
  。在电子邮件或即时消息攻击情形中，攻击者可以向目标用户发送旨在利用此远程代码执行的经特殊设计的文件。在所有情况下，攻击者都无法强制用户查看由攻击者控制的内容，必须诱使用户执行操作。例如，攻击者可能诱使用户单击链接以使用户链接到攻击者的网站或发送恶意附件，让用户打开经特殊设计的文件。

• CVE-2025-24991
  ：
  Windows NTFS信息泄露漏洞，
  已被发现在野利用
  。
  攻击者可以诱骗易受攻击系统上的本地用户安装特制VHD，然后触发该漏洞，成功利用此漏洞后可能会读取堆内存的小部分内容。

• CVE-2025-24984
  ：
  Windows NTFS信息泄露漏洞，已被发现在野利用。攻击者需要物理访问目标计算机才能插入恶意U盘，成功利用此漏洞后可能会读取部分堆内存。

• CVE-2025-26630
  ：
  Microsoft Access远程执行代码漏洞，已被公开披露
  。用户需要在经过诱骗后运行恶意文件，攻击者通过社会工程诱使受害者从网站下载并打开特制文件，从而导致对其计算机的本地攻击。

利用可能性较大的漏洞

– CVE-2025-24035
：
‍Win
dows远程桌面服务远程代码执行漏洞
，被标记为严重（Critical）漏洞。攻击者可以通过连接到具有远程桌面网关角色的系统、触发争用条件来创建释放后使用场景，然后利用此漏洞执行任意代码，赢得竞争条件后才可成功利用此漏洞。

• CVE-2025-24045
  ：Windows远程桌面服务远程代码执行漏洞
  ，被标记为严重（Critical）漏洞。成功利用此漏洞需要攻击者赢得竞争条件。

• CVE-2025-21180
  ：Windows exFAT文件系统远程代码执行漏洞。攻击者可以诱骗易受攻击系统上的本地用户安装特制VHD，然后触发该漏洞。

• CVE-2025-24044
  ：Windows Win32内核子系统特权提升漏洞。Use-After-Free（CWE-416）缺陷，成功利用此漏洞后可以获得SYSTEM特权。

• CVE-2025-24061
  ：Win
  dows Web查询标记安全功能绕过漏洞。
  ‍在所有情况下，攻击者都无法强制用户查看由攻击者控制的内容，攻击者必须诱使用户执行操作。成功利用此漏洞的攻击者可以逃避Mark of the Web（MOTW）防御。

• CVE-2025-24066、CVE-2025-24067
  ：内核流式处理服务驱动程序特权提升漏洞。基于堆的缓冲区溢出（CWE-122）缺陷，成功利用此漏洞后可以获得SYSTEM特权。

• CVE-2025-24995
  ：Kernel Streaming WOW Thunk服务驱动程序特权提升漏洞。基于
  堆的缓冲区溢出（CWE-122）缺陷，成功利用此漏洞后可以获得SYSTEM特权。

• CVE-2025-24992
  ：Windows NTFS信息泄露漏洞。攻击者可以诱骗易受攻击系统上的本地用户安装特制VHD，然后触发该漏洞。成功利用此漏洞的攻击者可能会读取部分堆内存。

• CVE-2025-21247
  ：MapUrlToZone安全功能绕过漏洞。攻击者无法强迫用户访问该网站。相反，攻击者必须诱导用户点击链接，通常是在电子邮件或即时消息中放置诱导信息，让用户打开经特殊设计的文件。成功利用此漏洞的攻击者可以查看一些敏感信息，但并非受影响组件中的所有资源都会泄露给攻击者。攻击者无法对泄露的信息进行更改或限制对资源的访问。

CVSS 3.1 Base Score高评分漏洞

– CVE-2025-24051
：Windows路由和远程访问服务（RRAS）远程代码执行漏洞。攻击者可以通过诱使的管理员用户向恶意服务器发送请求来利用此漏洞。这可能会导致服务器返回恶意数据，从而导致在用户系统上执行任意代码。

• CVE-2025-24056
  ：
  ‍
  ‍Windows电话服务远程代码执行漏洞。此攻击需要客户端连接到恶意服务器，并允许攻击者在客户端上获取代码执行。

• CVE-2025-26645
  ：远程桌面客户端远程执行代码漏洞
  ，被标记为严重（Critical）漏洞。
  ‍在远程桌面连接的情况下，当受害者使用易受攻击的远程桌面客户端连接到攻击服务器时，控制远程桌面服务器的攻击者可以在RDP客户端计算机上触发远程代码执行。

严重（Critical）漏洞

– CVE-2025-24084
：适用于Linux的Windows子系统（WSL2）内核远程代码执行漏洞。若要利用此漏洞，需要攻击者通过电子邮件向受害者发送恶意链接，或者他们通常会通过电子邮件或即时消息中的诱惑来说服用户点击该链接。在最坏的电子邮件攻击场景中，攻击者可以向用户发送精心编制的电子邮件，而不要求受害者打开、阅读或点击链接。这可能导致攻击者在受害者的机器上执行远程代码。

• CVE-2025-24064
  ：Windows域名服务远程代码执行漏洞。在基于网络的攻击中，攻击者以绝佳的时机向DNS服务器发送动态DNS更新消息，可能会在目标服务器上远程执行代码。成功利用此漏洞需要攻击者赢得竞争条件。

• CVE-2025-24057
  ：Microsoft Office远程执行代码漏洞。攻击者通过社会工程诱使受害者从网站下载并打开特制文件，从而导致对其计算机的本地攻击。预览窗格为此漏洞的攻击途径。

处置建议

根据微软官方指引，尽快下载安装补丁包进行修复，也可开启 Windows 自动更新保证补丁包的自动安装。

Microsoft 3月安全更新指引：
https://msrc.microsoft.com/update-guide/releaseNote/2025-Mar
。

山石网科是中国网络安全行业的技术创新领导厂商，由一批知名网络安全技术骨干于2007年创立，并以首批网络安全企业的身份，于2019年9月登陆科创板（股票简称：山石网科，股票代码：688030）。

现阶段，山石网科掌握30项自主研发核心技术，申请540多项国内外专利。山石网科于2019年起，积极布局信创领域，致力于推动国内信息技术创新，并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发，旨在通过自主创新，为用户提供更高效、更安全的网络安全保障。目前，山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及边界安全、云安全、数据安全、业务安全、内网安全、智能安全运营、安全服务、安全运维等八大类产品服务，50余个行业和场景的完整解决方案。