微软2025年5月份于周二补丁日针对78漏洞发布安全补丁
微软2025年5月份于周二补丁日针对78漏洞发布安全补丁
何威风 祺印说信安 2025-05-17 06:08
微软周二发布了修复程序,修复了其软件系列中总共78 个安全漏洞,其中包括五个已被广泛利用的零日漏洞。
这家科技巨头已解决的 78 个漏洞中,11 个被评为“严重”,66 个被评为“重要”,1 个被评为“低”。其中 28 个漏洞可导致远程代码执行,21 个漏洞为权限提升漏洞,另有 16 个漏洞被归类为信息泄露漏洞。
自上个月的补丁星期二更新发布以来,该公司还修复了基于 Chromium 的 Edge 浏览器中的另外八个安全缺陷。
以下列出了五个已被广泛利用的漏洞 –
– CVE-2025-30397(CVSS 评分:7.5)- 脚本引擎内存损坏漏洞*此漏洞允许远程攻击者在受影响的系统上执行其代码,前提是他们能够诱使用户点击特制链接。由于该漏洞已在野外存在,显然有人点击了该链接。此漏洞的有趣之处在于它会强制 Edge 进入 Internet Explorer 模式,因此 IE 的幽灵仍然萦绕在我们身边。微软尚未提供有关此类攻击范围的信息,但我会尽快测试并部署此修复程序。
– *CVE-2025-30400(CVSS 评分:7.8)- Microsoft 桌面窗口管理器 (DWM) 核心库特权提升漏洞*本月修复的最后一个在野漏洞。虽然我们早在一月份就发现该漏洞已被修复,但这是我们一段时间以来在该组件中发现的第一个漏洞。这又是一个特权提升漏洞,会导致以 SYSTEM 权限执行代码。所有特权提升漏洞都常用于网络钓鱼和勒索软件,所以不要被它们较低的严重性所蒙蔽。务必尽快测试并部署这些补丁。
– *CVE-2025-32701(CVSS 评分:7.8)- Windows 通用日志文件系统 (CLFS) 驱动程序特权提升漏洞*
– *CVE-2025-32706(CVSS 评分:7.8)- Windows 通用日志文件系统驱动程序特权提升漏洞
此 Windows 组件已暴露,因为在过去几个月中,其他组织也曾利用过该漏洞。这些漏洞允许将权限提升至 SYSTEM 权限,并且通常与代码执行漏洞配合使用以控制系统。过去,勒索软件团伙曾利用此类漏洞,因此这些漏洞很可能也存在。请快速测试并部署。*
– *CVE-2025-32709(CVSS 评分:7.8)- Windows 辅助功能驱动程序的 WinSock 特权提升漏洞今年 2 月也发现过该组件被野外利用的情况。当我们看到同一个组件一次又一次被利用时,我开始质疑补丁的质量,怀疑它们是否被绕过了。这里再次出现了一个特权提升漏洞,导致攻击者获得 SYSTEM 权限。
虽然前三个漏洞已被微软自己的威胁情报团队发现,但谷歌威胁情报小组的 Benoit Sevens 和 CrowdStrike 高级研究团队也因发现 CVE-2025-32706 而受到认可。一位匿名研究人员则因报告 CVE-2025-32709 而受到认可。
Action1 首席执行官兼联合创始人 Alex Vovk在谈到 CVE-2025-30397 时表示: “在 Microsoft 脚本引擎中发现了另一个零日漏洞,该引擎是 Internet Explorer 和 Microsoft Edge 中的 Internet Explorer 模式使用的关键组件。”
攻击者可以通过恶意网页或脚本利用此漏洞,导致脚本引擎误解对象类型,从而导致内存损坏并在当前用户上下文中执行任意代码。如果用户拥有管理权限,攻击者可以获得完全的系统控制权,从而窃取数据、安装恶意软件以及跨网络横向移动。
CVE-2025-30400 是自 2023 年以来 DWM 核心库中第三个在野外被武器化的权限提升漏洞。2024 年 5 月,微软发布了针对 CVE-2024-30051 的补丁,卡巴斯基称该漏洞被用于分发 QakBot(又名 Qwaking Mantis)恶意软件的攻击。
Tenable 高级研究工程师 Satnam Narang 在与 The Hacker News 分享的一份声明中表示:“自 2022 年以来,补丁星期二已经解决了 DWM 中的 26 个权限提升漏洞。”
事实上,2025 年 4 月发布的版本修复了五个 DWM 核心库特权提升漏洞。在 CVE-2025-30400 之前,只有两个 DWM 特权提升漏洞被利用为零日漏洞——2024 年的 CVE-2024-30051 和2023 年的CVE-2023-36033 。
CVE-2025-32701 和 CVE-2025-32706 是 CLFS 组件中发现的第七和第八个权限提升漏洞,自 2022 年以来已在实际攻击中被利用。上个月,微软透露CVE-2025-29824 被利用在针对美国、委内瑞拉、西班牙和沙特阿拉伯公司的有限攻击中。
博通旗下赛门铁克本月早些时候透露,据称 CVE-2025-29824 也被与 Play 勒索软件家族相关的威胁行为者用作零日漏洞,作为针对美国一家未具名组织的攻击的一部分。
同样,CVE-2025-32709 是 WinSock 组件辅助功能驱动程序中一年内被滥用的第三个权限提升漏洞,前两个漏洞是CVE-2024-38193和CVE-2025-21418。值得注意的是,CVE-2024-38193 的利用被认为与朝鲜有关联的 Lazarus 集团有关。
这一事态发展促使美国网络安全和基础设施安全局 (CISA) 将所有五个漏洞添加到其已知被利用漏洞 ( KEV ) 目录中,要求联邦机构在 2025 年 6 月 3 日之前应用修复程序。
微软的补丁星期二更新还解决了 Microsoft Defender for Endpoint for Linux 中的权限提升漏洞(CVE-2025-26684,CVSS 评分:6.7),该漏洞可能允许授权攻击者在本地提升权限。
Stratascale 研究员 Rich Mirch 是报告该漏洞的两名研究人员之一,他表示该问题根源在于一个 Python 帮助脚本,该脚本包含一个用于确定 Java 运行时环境 (JRE) 版本的函数(“grab_java_version()”)。
Mirch解释说: “该函数通过检查 /proc/
另一个值得注意的缺陷是影响 Microsoft Defender for Identity 的欺骗漏洞(CVE-2025-26685,CVSS 评分:6.5),该漏洞允许具有 LAN 访问权限的攻击者通过相邻网络执行欺骗。
Rapid7 首席软件工程师 Adam Barnett 在一份声明中表示: “横向移动路径检测功能本身可能被攻击者利用来获取 NTLM 哈希值。在这种情况下,被盗用的凭证是目录服务帐户的凭证,而漏洞利用依赖于从 Kerberos 回退到 NTLM。”
最高严重程度的漏洞为CVE-2025-29813(CVSS 评分:10.0),这是 Azure DevOps Server 中的一个权限提升漏洞,允许未经授权的攻击者通过网络提升权限。微软表示,该漏洞已在云端部署,客户无需采取任何措施。
微软补丁日系列回顾
微软2025年1月份于周二补丁日针对161漏洞发布安全
微软2025年2月份于周二补丁日针对67漏洞发布安全补丁
微软2025年3月份于周二补丁日针对56漏洞发布安全补丁
微软2025年4月份于周二补丁日针对126漏洞发布安全补丁
微软2024年11月份于周二补丁日针对90漏洞发布安全补丁****
微软2024年10月份于周二补丁日针对118个漏洞发布安全补丁,两个被广泛利用****
微软2024年9月份于周二补丁日针对79个漏洞发布安全补丁
微软2024年8月份于周二补丁日针对90个漏洞发布安全补丁
微软2024年7月份于周二补丁日针对143个漏洞发布安全补丁****
微软2024年6月份于周二补丁日针对51个漏洞发布安全补丁****
微软2024年5月份于周二补丁日针对61个漏洞发布安全补丁
微软2024年4月份于周二补丁日针对149个漏洞发布安全补丁
微软2024年3月份于周二补丁日针对61个漏洞发布安全补丁****
微软2024年2月份于周二补丁日针对73个漏洞发布安全补丁
微软2024年1月份于周二补丁日针对48个漏洞发布安全补丁
微软2023年1月份于周二补丁日针对98个漏洞发布安全补丁
微软2023年2月份于周二补丁日针对75个漏洞发布安全补丁
微软2023年3月份于周二补丁日针对80个漏洞发布安全补丁
微软2023年4月份于周二补丁日针对97个漏洞发布安全补丁
微软2023年5月份于周二补丁日针对38个漏洞发布安全补丁
微软2023年6月份于周二补丁日针对69个漏洞发布安全补丁
微软2023年7月份于周二补丁日针对132个漏洞发布安全补丁
微软2023年8月份于周二补丁日针对74个漏洞发布安全补丁
微软2023年9月份于周二补丁日针对59个漏洞发布安全补丁
微软2023年10份于周二补丁日针对103个漏洞发布安全补丁
微软2023年11份于周二补丁日针对63个漏洞发布安全补丁
微软2023年12份于周二补丁日针对33个漏洞发布安全补丁