微软2025年7月份于周二补丁日针对130漏洞发布安全补丁
原文链接: https://mp.weixin.qq.com/s?__biz=MzA5MzU5MzQzMA==&mid=2652117072&idx=1&sn=b12d8a5fe6070c8adc614599437eb5f4
微软2025年7月份于周二补丁日针对130漏洞发布安全补丁
祺印说信安 2025-07-10 23:13
2025 年以来,微软的补丁星期二更新首次没有捆绑针对被利用的安全漏洞的修复程序,但该公司承认其中一个已得到解决的漏洞已被公众所知。
这些补丁修复了多达 130 个漏洞,以及 10 个其他影响 Visual Studio、AMD 及其基于 Chromium 的 Edge 浏览器的非 Microsoft CVE。其中 10 个漏洞的严重级别为“严重”,其余漏洞的严重级别均为“重要”。
Tenable 高级研究员工程师 Satnam Narang 表示:“我们连续 11 个月修补至少一个在野利用的零日漏洞,这一势头在本月结束。”
其中 53 个缺陷被归类为权限提升漏洞,其次是 42 个远程代码执行漏洞、17 个信息泄露漏洞和 8 个安全功能绕过漏洞。自上个月补丁星期二更新发布以来,微软还修复了 Edge 浏览器中的另外两个漏洞。
该漏洞已被公开,是 Microsoft SQL Server 中的一个信息泄露缺陷(CVE-2025-49719,CVSS 评分:7.5),可能允许未经授权的攻击者泄漏未初始化的内存。
Rapid7 首席软件工程师 Adam Barnett 在一份声明中表示:“攻击者可能不会学到任何有价值的东西,但如果运气好、坚持不懈或对漏洞进行一些非常巧妙的利用,奖品可能是加密密钥材料或 SQL Server 中的其他宝贵资源。”
Action1 总裁兼联合创始人 Mike Walters表示,该漏洞可能是由于 SQL Server 内存管理中的输入验证不当造成的,从而允许访问未初始化的内存。
“因此,攻击者可以检索敏感数据的残留,例如凭证或连接字符串,”沃尔特斯补充道。“它会影响 SQL Server 引擎和使用 OLE DB 驱动程序的应用程序。”
微软在本月更新中修复的最严重漏洞涉及影响 SPNEGO 扩展协商 ( NEGOEX ) 的远程代码执行漏洞。该漏洞编号为CVE-2025-47981,CVSS 评分为 9.8(满分 10.0)。
微软在一份安全公告中表示:“Windows SPNEGO 扩展协商中存在基于堆的缓冲区溢出漏洞,允许未经授权的攻击者通过网络执行代码。攻击者可以通过向服务器发送恶意消息来利用此漏洞,从而可能导致远程代码执行。”
一位匿名研究人员和 Yuki Chen 被发现并修复了该漏洞。微软指出,由于“网络安全:允许向此计算机发送 PKU2U 身份验证请求以使用在线身份”组策略对象 ( GPO ) 默认启用,因此该问题仅影响运行 Windows 10 版本 1607 及更高版本的 Windows 客户端计算机。
watchTowr 创始人兼首席执行官本杰明·哈里斯 (Benjamin Harris) 表示:“与往常一样,远程代码执行很糟糕,但早期分析表明,这种漏洞可能具有‘蠕虫’性质——这种漏洞可能会被自我传播的恶意软件利用,并使许多人再次遭受 WannaCry 事件的创伤。”
微软对此类漏洞的先决条件非常明确:无需身份验证,只需网络访问权限,而且微软自己也认为漏洞被利用的可能性“更大”。我们不应该自欺欺人——如果私营企业已经注意到了这个漏洞,那么它肯定已经进入了每个心怀恶意的攻击者的雷达范围。防御者需要放下一切,迅速打上补丁,并追踪暴露的系统。
其他重要漏洞包括影响 Windows KDC 代理服务(CVE-2025-49735,CVSS 分数:8.1)、Windows Hyper-V(CVE-2025-48822,CVSS 分数:8.6)和 Microsoft Office(CVE-2025-49695、CVE-2025-496966和CVE-2025-49697,CVSS 分数:8.4)的远程代码执行缺陷。
CVE-2025-49735 之所以重要,是因为其暴露于网络,且无需任何权限或用户交互。尽管攻击复杂性很高,但该漏洞为预授权远程攻击打开了大门,对 APT 和民族国家行为者来说尤其具有吸引力,”Immersive 首席网络安全工程师 Ben McCarthy 表示。
攻击者必须赢得竞争条件——一种在特定窗口内释放和重新分配内存的时序缺陷——这意味着目前的可靠性较低。尽管如此,这类问题可以通过堆修饰等技术武器化,最终实现利用。
此外,此更新还解决了 Bitlocker 中的五个安全功能绕过漏洞(CVE-2025-48001、CVE-2025-48003、CVE-2025-48800、CVE-2025-48804和CVE-2025-48818,CVSS 评分:6.8),这些漏洞可能允许通过物理访问设备进行攻击的攻击者获取加密数据。
微软就 CVE-2025-48804 表示:“攻击者可以在操作系统卷解锁的情况下加载 WinRE.wim 文件来利用此漏洞,从而获得对 BitLocker 加密数据的访问权限。”
微软进攻性研究与安全工程 (MORSE) 的研究人员 Netanel Ben Simon 和 Alon Leviev 因报告内置磁盘加密工具中的五个问题而受到认可。
Immersive 网络安全工程师 Jacob Ashdown 表示:“这些漏洞一旦被利用,可能会暴露敏感文件、凭证,甚至导致系统完整性被篡改。这会带来特别的风险,尤其是对于设备可能丢失或被盗的组织而言,因为拥有实际访问权限的攻击者可能会绕过加密并提取敏感数据。”
还值得注意的是, 2025 年 7 月 8 日正式标志着 SQL Server 2012 的终结,它将不再接收即将结束的扩展安全更新 (ESU) 程序列表中的任何未来安全补丁。
本月发布的漏洞中,只有三个其他严重级别漏洞值得讨论。第一个漏洞存在于 Hyper-V 中,如果攻击者被诱骗导入 INF 文件,该漏洞可能允许攻击者在本地系统上执行代码。另一个漏洞存在于 Windows KDC 代理服务中,如果攻击者能够利用 Kerberos 密钥分发中心代理服务中的加密协议漏洞,该漏洞可能允许代码执行。虽然这是一个诱人的目标,但对于攻击者来说,这并非易事。最后,映像组件中有一个严重级别信息泄露漏洞,但它仅泄漏了堆内存,因此尚不清楚其为何被列为严重级别。
纵观剩余的代码执行漏洞,Office 中还存在一些开放式漏洞,其中预览面板并非攻击媒介。RRAS 服务中也存在我们每月发现的漏洞,7 月份共发现 14 个。MPEG2 中存在一些需要身份验证的漏洞,而身份验证也是 Intune SQL 注入漏洞的必要条件。SharePoint 漏洞也需要身份验证,但任何能够创建网站的人都具备所需的权限。虚拟硬盘中的漏洞要求用户挂载特制的 VHD,这似乎不太可能发生。RDP 客户端中的漏洞要求连接到恶意的 RDP 服务器,这也是不太可能发生的情况。Windows 服务器安装程序和启动事件收集中的漏洞需要高权限,但可用于在初次入侵后维持访问权限。说到不太可能发生的情况,Miracast 中的漏洞要求目标用户连接到恶意的 Miracast 接收器并采用非默认配置。如果攻击者向受影响系统上的 TCP 端口 5040 发送特制数据包,Windows 互联设备平台服务中的漏洞将允许代码执行,但用户需要重启服务才能完成攻击。Visual Studio 的 Python 组件中存在一个漏洞,原因是 Python 扩展允许未经授权的攻击者在本地执行代码。最后,Azure Monitor 代理中的漏洞允许未经授权的攻击者通过相邻网络执行代码。已禁用自动扩展升级的用户需要手动更新代理。
7 月份发布的版本中存在 50 多个特权提升 (EoP) 漏洞。如果经过身份验证的用户运行特制代码,绝大多数此类漏洞都会导致系统级代码执行或管理员权限。虚拟硬盘和快速 FAT 中的漏洞需要目标挂载虚拟驱动器。少数漏洞可使本地攻击者导致系统崩溃,从而可用于提升权限。其他漏洞会根据产品提升到不同级别。EoP 是指 Office 逃离受保护视图沙盒。基于虚拟化的安全性中的漏洞可使攻击者获得虚拟信任级别 1 (VTL1) 权限。输入法编辑器 (IME) 中的漏洞可使攻击者从低完整性级别执行代码到中等完整性级别。通用打印管理服务中的漏洞略有不同。在这种情况下,经过身份验证的攻击者可以向共享打印机发送特制文件,从而在共享该打印机的系统上执行代码。最后,Azure Fabric 运行时中的漏洞会导致攻击者获得 SYSTEM 权限,但攻击者需要执行一些额外的步骤。如果您已禁用自动更新,则还需要采取其他措施。您需要手动更新 Server Fabric 群集才能受到保护。
本月发布的安全功能绕过 (SFB) 补丁中,有五个针对 BitLocker。虽然攻击场景各有不同,但都能够帮助攻击者绕过 BitLocker。SmartScreen 中的漏洞允许攻击者绕过 SmartScreen 的保护机制。虽然该漏洞尚未受到主动攻击,但我们已经发现勒索软件在野外利用了类似的漏洞。远程桌面许可中的漏洞需要中间人攻击 (MitM),但微软并未明确指出具体是哪项安全功能被绕过。最后一个 SFB 位于 Office 开发平台中,允许攻击者绕过 Office Visual Basic for Applications (VBA) 签名方案。
7月发布的补丁包含不少信息泄露补丁。与往常一样,这些补丁大多位于Windows存储管理提供程序中,只会导致包含未指定内存内容的信息泄露。这些信息在利用系统组件时很有用,但除此之外,并不太引人注目。SQL Server中的漏洞也是如此。但是,与前面提到的SQL RCE漏洞类似,您可能需要手动更新到Microsoft OLE DB驱动程序18或19。GDI中的漏洞可能导致难以捉摸的“敏感信息”泄露。这比加密服务泄露的信息更详细一些。微软只是简单地声明该漏洞允许“攻击者通过网络泄露信息”。
此版本中提供了五个针对拒绝服务 (DoS) 漏洞的补丁。然而,微软并未提供关于这些漏洞的可操作信息。相反,他们只是简单地声明攻击者可以通过网络拒绝向该组件提供服务。唯一的例外是 Windows 性能记录器中的漏洞。此漏洞需要经过身份验证的攻击者创建目录,然后让管理员首次运行 wprui.exe。不知何故,我并没有发现该漏洞在野外被利用。
纵观本月收到补丁的欺骗漏洞,首先引人注目的是 SharePoint 服务器中的漏洞。该漏洞允许 Viettel 通过欺骗经过身份验证的连接来绕过 Pwn2Own 的身份验证。远程桌面中的漏洞需要一定的社会工程学知识,因为它需要诱骗用户与伪造的 WebAuthn 提示符进行交互并输入其凭据。存储中的欺骗漏洞可被攻击者利用,诱骗用户连接到攻击者控制的网络资源。最后,SMB 中的欺骗漏洞涉及不当的证书验证,这意味着证书可以通过网络进行欺骗。
—
欢迎关注 往期回顾
—
2025收集更新信通院白皮书系列合集(665个)下载
什么是真正的信息安全服务?“专业公司”“专业人士”误导“安服”概念有多严重?
——等级保护
欲等保定级先数据分类分级
浅谈重要数据识别与等级保护之间关系
等级保护走向严监管,明确测评双方的责任从了解测评过程指南开始(思维导图下载)
新形势下的等级保护定级备案如何开展
2025公安部网安局等保工作最新要求逐条解析
公网安〔2025〕1846号文:风险隐患及工作方案释疑浅谈
公网安〔2025〕1846号文:数据摸底调查释疑浅谈
公网安〔2025〕1846号文:第五级网络系统释疑浅谈
公网安〔2025〕1846号文:定级备案的最新释疑浅谈
关于25年定级备案公安部网安局释疑的一点浅谈
公网安〔2025】1846号关于对网络安全等级保护有关工作事项进一步说明的函
新等保测评真的取消打分了吗?一点杂谈!
新定级备案模板明确数据安全纳入等级保护体系
等保定级新模板新要求,2025定级工作新变化
测评机构老板与销售注意:浅谈测评机构如何更好的满足属地网安监管?
网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
河南省新规定测评与密评预算再调低
四川省等级测评与商密评估预算计算方法
广西壮族自治区等级测评与商密评估预算为几何?
黑龙江财政关于等级测评与商密评估预算为几何?
和Deepseek一起共同探讨《国家信息化领导小组关于加强信息安全保障工作的意见》
和Deepseek一起共同探讨《关于信息安全等级保护工作的实施意见》
——数据安全
《网络数据安全管理条例》解读
了解企业数据目录
结构化数据与非结构化数据
网络和数据安全合规:15部门发布指导意见助力中小企业全面合规
——工业控制系统
工业控制系统安全IEC 62443标准:概述
普渡大学工业控制系统安全模型
一图读懂工业和信息化领域数据安全事件应急预案(试行)
网络安全知识:什么是工业控制系统 (ICS) 网络安全?
——错与罚
江苏涟水农村商业银违反网络安全与数据安全管理规定等被罚114.5万
辽宁三家银行被罚款均超百万,其中涉及网络和数据安全管理
交通银行辽宁省分行因多项违规被罚116万元,其中含网络和数据安全管理
湖北咸宁农商行因“违反征信安全管理规定;数据安全管理规定”等被罚5.31万
存在未授权访问漏洞等问题!北京依法查处两家违法企业
涉未落实等级保护……建设银行安阳分行因存在多项网络安全问题被罚50.7万元
商丘睢县农信联社被罚64万元,其中涉及网络安全、数据安全
网络不是法外之地,胖东来胜诉,段某判罚40万元,双方暂不上诉
网络安全无小事!某企业因疏于防护被依法查处
江苏灌南农商行因违反数据安全管理规定等被罚97.5万
网安企业“内鬼”监守自盗,窃取个人信息2.08亿条
郑州3家公司未履行网络安全保护义务被网信部门约谈
25年郑州新增两家公司违反《网络安全法》被市网信办行政处罚
驻马店市委网信办就网络安全问题依法约谈相关责任单位
两家银行因数据安全相关问题,被罚款
河北保定竞秀区委网信办依法约谈网站负责人
贵港市网信办公布2起网络安全违法违规典型案例
公安机关依法严厉打击侵犯公民个人信息犯罪,10起典型案例公布
重庆网信部门近期就企业违法违规情况开展多起约谈与处罚
新华社:中国电信、中国移动、中国联通,集体回应!
——其他
浅谈网络“四法四条例四办法一意见”与山东数字政府建设改革方案
精彩回顾:祺印说信安2024之前
祺印说信安2024年一年回顾
网警提醒 | 3.31世界备份日:重视你的数据安全
网络安全知识:什么是技术债务?
网络安全知识:网络威胁情报解析
网络安全知识:什么是数字凭证?
网络安全知识:什么是软件开发?
网络安全知识:什么是事件响应?事件框架概述
网络安全知识:网络安全意识
5月1日起,《国家秘密定密管理规定》正式施行
黑客攻击远程服务器十大弱口令