微软2025年5月补丁日重点漏洞安全预警

发布于 作者:

微软2025年5月补丁日重点漏洞安全预警

原创 NEURON 山石网科安全技术研究院 2025-05-15 08:31

图片

微软官方发布5月安全更新‍

请及时安装补丁修复‍

补丁概述

2025年5月13日,微软官方发布了5月安全更新,针对78个Microsoft CVE和5个non-Microsoft CVE进行修复。Microsoft CVE中,包含11个严重漏洞(Critical)、66个重要漏洞(Important)和1个低危漏洞(Low)。从漏洞影响上看,有
29个远程代码执行漏洞、
20个特权提升漏洞、
16个信息泄露漏洞、7个拒绝服务漏洞、4个欺骗漏洞和
2个安全功能绕过漏洞

78个漏洞中,目前有漏洞
CVE-2025-30400、CVE-2025-32701、CVE-2025-32706、CVE-2025-32709、CVE-2025-30397
被发现在野利用,漏洞
CVE-2025-32702、CVE-2025-26685被公开披露,有8个更有可能被利用的漏洞。

本次安全更新涉及多个Windows主流版本,包括Windows 11、Windows 10、Windows Server 2025等;涉及多款主流产品和组件,如
Microsoft Office Excel、
Windows路由和远程访问服务(RRAS)、
远程桌面网关服务、
Windows Media、
Microsoft Office SharePoint等。

重点关注漏洞

在野利用和公开披露漏洞


CVE-2025-30400

Microsoft DWM核心库权限提升漏洞,
已被发现在野利用。
Use-After-Free缺陷(
CWE-416),
成功利用此漏洞的攻击者可以获得系统特权。

  • CVE-2025-32701
    :Windows通用日志文件系统驱动程序提升权限漏洞,
    已被发现在野利用。
    Use-After-Free缺陷(CWE-416),成功利用此漏洞的攻击者可以获得系统特权。

  • CVE-2025-32706
    :Windows通用日志文件系统驱动程序提升权限漏洞,
    已被发现在野利用。不正确的输入验证缺陷(CWE-20),成功利用此漏洞的攻击者可以获得系统特权。

  • CVE-2025-32709
    :WinSock的Windows辅助功能驱动程序特权提升漏洞,
    已被发现在野利用。Use-After-Free缺陷(CWE-416),成功利用此漏洞的攻击者可以获得管理员特权。

  • CVE-2025-30397
    :脚本引擎内存损坏漏洞,
    已被发现在野利用。
    成功利用此漏洞需要攻击者首先准备目标,使其在Internet Explorer模式下使用Edge,同时
    此攻击需要经过身份验证的客户端点击链接,以便未经身份验证的攻击者可以启动远程代码执行。

  • CVE-2025-32702
    :Visual Studio远程执行代码漏洞,
    已被公开披露。
    在Visual Studio中,对命令中使用的特殊元素(“命令注入”)的处理不当允许未经授权的攻击者在本地执行代码。
    攻击者通过社会工程诱使受害者从网站下载并打开特制文件,从而导致对其计算机的本地攻击。

  • CV
    E-2025-2668
    5
    :Microsoft Defender for Identity欺骗漏洞,
    已被公开披露。
    Microsoft Defender for Identity 中的身份验证不正确允许未经授权的攻击者通过相邻网络执行欺骗,
    具有LAN访问权限的未经身份验证的攻击者可以利用此漏洞。

利用可能性较大的漏洞


– CVE-2025-30386
:Microsoft Office远程执行代码漏洞,
被标记为严重(Critical)漏洞。要利用此漏洞,攻击者必须先登录到系统。然后,攻击者可以运行一个为利用此漏洞而经特殊设计的应用程序,从而控制受影响的系统。此外,攻击者可能会诱使本地用户打开恶意文件。攻击者必须诱使用户点击链接,通常是在电子邮件或即时消息中放置诱导信息,然后诱使用户打开经特殊设计的文件。

  • CVE-2025-24063
    :内核流式处理服务驱动程序特权提升漏洞。
    攻击者必须是登录到易受攻击系统的经过身份验证的用户才能利用此漏洞。
    Windows内核中基于堆的缓冲区溢出允许授权攻击者在本地提升权限,
    成功利用此漏洞的攻击者可以获得系统特权。

  • CVE-2025-29976
    :Microsoft SharePoint Server特权提升漏洞。
    Microsoft Office SharePoint中权限管理不当,使得授权攻击者能够在本地提升权限,
    成功利用该漏洞的攻击者可以获得读取加载文件的能力。

  • CVE-2025-30382
    :Microsoft SharePoint Server远程执行代码漏洞。
    在Microsoft Office SharePoint中反序列化不受信任的数据允许未经授权的攻击者在本地执行代码,
    攻击者通过社会工程诱使受害者从网站下载并打开特制文件,从而导致对其计算机的本地攻击。

  • CVE-2025-30385
    :Windows通用日志文件系统驱动程序提升权限漏洞。
    成功利用此漏洞的攻击者可能会获得通过利用Use-After-Free漏洞使系统崩溃的能力,即使作为标准用户也是如此。

  • CVE-2025-30388
    :Windows图形组件远程执行代码漏洞。
    Windows Win32K中基于堆的缓冲区溢出允许未经授权的攻击者在本地执行代码。
    攻击者通过社会工程诱使受害者从网站下载并打开特制文件,从而导致对其计算机的本地攻击。

  • CVE-2025-29971
    :Web威胁防御(WTD.sys)拒绝服务漏洞。
    Web威胁防御(Web Threat Defense)中的越界读取允许未经授权的攻击者拒绝通过网络提供服务。

  • CVE-2025-29841
    :通用打印管理服务特权提升漏洞。
    成功利用此漏洞需要攻击者赢得竞争条件,
    成功利用此漏洞的攻击者可能会获得通过利用Use-After-Free漏洞使系统崩溃的能力。

CVSS 3.1 Base Score高评分漏洞


– CVE
-2025-2981
3
:Azure DevOps Server特权提升漏洞,
被标记为严重(Critical)漏洞。
Microsoft已经完全缓解了这一漏洞,该服务的用户无需采取任何操作。

  • CVE-2025-29827
    :Azure自动化特权提升漏洞,
    被标记为严重(Critical)漏洞。
    Microsoft已经完全缓解了这一漏洞,该服务的用户无需采取任何操作。

  • CVE-2025-29972
    :Azure存储资源提供程序欺骗漏洞,
    被标记为严重(Critical)漏洞。
    Microsoft已经完全缓解了这一漏洞,该服务的用户无需采取任何操作。

  • CVE-2025-30387
    :Document Intelligence Studio On-Prem特权提升漏洞。
    在Azure中,不正确地将路径名限制为受限目录可让未经授权的攻击者通过网络提升权限,成
    功利用此漏洞的攻击者可能会下载挂载路径的父文件夹的内容。

  • CV
    E-2025-
    47733
    :Microsoft Power Apps信息泄露漏洞,
    被标记为严重(Critical)漏洞。
    Microsoft已经完全缓解了这一漏洞,该服务的用户无需采取任何操作。

严重(Critical)漏洞


– CVE-2025-29966
:远程桌面客户端远程执行代码漏洞。
在远程桌面连接的情况下,当受害者使用易受攻击的远程桌面客户端连接到攻击者的服务器时,控制远程桌面服务器的攻击者可以在RDP客户端计算机上触发远程代码执行。

  • CVE-2025-29967
    :远程桌面客户端远程执行代码漏洞。
    远程桌面网关服务中基于堆的缓冲区溢出允许未经授权的攻击者通过网络执行代码,
    在远程桌面连接的情况下,当受害者使用易受攻击的远程桌面客户端连接到攻击者的服务器时,控制远程桌面服务器的攻击者可以在RDP客户端计算机上触发远程代码执行。

  • CVE-2025-47732
    :Microsoft Dataverse远程代码执行漏洞。
    Microsoft已经完全缓解了这一漏洞,该服务的用户无需采取任何操作。

  • CVE-2025-30377
    :Microsoft Office远程执行代码漏洞。
    Microsoft Office中的Use-After-Free允许未经授权的攻击者在本地执行代码,
    预览窗格为此漏洞的攻击途径。

  • CVE-2025-33072
    :Microsoft msagsfeedback.azurewebsites.net信息泄露漏洞。
    Microsoft已经完全缓解了这一漏洞,该服务的用户无需采取任何操作。

  • CVE-2025-29833
    :微软虚拟机总线(VMBus)远程代码执行漏洞。
    所有经过身份验证的攻击者皆可触发此漏洞,它不需要管理员或其他提升权限。
    成功利用此漏洞需要攻击者准备目标环境以提高利用的可靠性。

处置建议

根据微软官方指引,尽快下载安装补丁包进行修复,也可开启 Windows 自动更新保证补丁包的自动安装。

Microsoft 2025年5月安全更新指引:
https://msrc.microsoft.com/update-guide/releaseNote/2025-May

山石网科是中国网络安全行业的技术创新领导厂商,由一批知名网络安全技术骨干于2007年创立,并以首批网络安全企业的身份,于2019年9月登陆科创板(股票简称:山石网科,股票代码:688030)。

现阶段,山石网科掌握30项自主研发核心技术,申请560多项国内外专利。山石网科于2019年起,积极布局信创领域,致力于推动国内信息技术创新,并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发,旨在通过自主创新,为用户提供更高效、更安全的网络安全保障。目前,山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及边界安全、云安全、数据安全、业务安全、内网安全、智能安全运营、安全服务、安全运维等八大类产品服务,50余个行业和场景的完整解决方案。

图片