微软以2025年首批补丁开场,共诞生了其软件组合中的161个安全时弊人体艺术照,其中包括三个已在攻击中被积极欺诈的零日时弊。
在这161个时弊中,有11个被评定为严重(Critical),149个被评定为紧要(Important)。另一个时弊是一个与非微软干系的CVE,波及Windows安全启动绕过(CVE-2024-7344),但尚未被评定严重进程。据Zero Day Initiative称,这次更新是自2017年以来单月诞生的CVE数目最多的一次。
除了这些补丁外,自2024年12月“补丁星期二”更新发布以来,微软还在其基于Chromium的Edge浏览器中诞生了七个时弊。
微软发布的补丁中,引东说念主介意的是Windows Hyper-V NT内核集成VSP(Virtual Service Provider)中的三个时弊(CVE-2025-21333、CVE-2025-21334和CVE-2025-21335,CVSS评分:7.8)。微软默示,这些时弊已在原野被积极欺诈。
“告捷欺诈此时弊的攻击者不错得到SYSTEM权限,”微软在这三个时弊的公告中说说念。
按照常规,当前尚不明晰这些时弊是若何被欺诈的,以及它们被欺诈的具体场景。微软也莫得说起欺诈这些时弊的要挟步履者的身份或攻击的范畴。
但Tenable的高等盘考工程师Satnam Narang指出,鉴于这些是权限普实时弊,它们很可能被用作攻击者在已通过其他形态得到方针系统探访权限后的后续算作的一部分。
Rapid7的首席软件工程师Adam Barnett向The Hacker News默示:“臆造化事业提供商(VSP)位于Hyper-V实例的根分区中,并通过臆造机总线(VMBus)为子分区提供合成征战支撑:它是Hyper-V允许子分区骗取我方以为它是真正谋略机的基础。”
汇聚安全方面:
“辩论到悉数这个词系统王人是一个安全鸿沟,也许令东说念主诧异的是,直到今天微软才承认存在Hyper-V NT内核集成VSP时弊,但如若当今出现更多此类时弊,也毫不会让东说念主感到惶恐。”
Windows Hyper-V NT内核集成VSP时弊被欺诈的情况,也促使好意思国汇聚安全和基础设施安全局(CISA)将它们列入其“已知被欺诈时弊”(KEV)目次,并要求联邦机构在2025年2月4日之前应用补丁。
此外,微软还劝诫称,其中五个时弊是公开已知的:
CVE-2025-21186、CVE-2025-21366、CVE-2025-21395(CVSS评分:7.8)——Microsoft Access长途代码推论时弊CVE-2025-21275(CVSS评分:7.8)——Windows应用身手包装配身手权限普实时弊CVE-2025-21308(CVSS评分:6.5)——Windows主题骗取时弊
值得可贵的是,CVE-2025-21308(可能导致不妥袒露NTLM哈希)之前已被0patch标志为CVE-2024-38030的绕过时弊。针对该时弊的微补丁已于2024年10月发布。
另一方面,悉数三个Microsoft Access时弊王人被归功于AI驱动的时弊发现平台Unpatched.ai。Action1还指出,尽管这些时弊被归类为长途代码推论(RCE)时弊,但欺诈它们需要攻击者诱使用户掀开特制的文献。
这次更新还显赫地诞生了五个严重时弊:
CVE-2025-21294(CVSS评分:8.1)——Microsoft Digest身份考证长途代码推论时弊CVE-2025-21295(CVSS评分:8.1)——SPNEGO彭胀协商(NEGOEX)安全机制长途代码推论时弊CVE-2025-21298(CVSS评分:9.8)——Windows对象相接与镶嵌(OLE)长途代码推论时弊CVE-2025-21307(CVSS评分:9.8)——Windows可靠多播传输驱上路手(RMCAST)长途代码推论时弊CVE-2025-21311(CVSS评分:9.8)——Windows NTLM V1权限普实时弊
“在电子邮件攻击场景中,攻击者不错通过向受害者发送特制的电子邮件来欺诈此时弊,”微软在对于CVE-2025-21298的公告中说说念。
“欺诈此时弊可能波及受害者使用受影响的Microsoft Outlook软件版块掀开特制的电子邮件,或者受害者的Outlook应用身手浮现特制电子邮件的预览。这可能导致攻击者在受害者的机器上推论长途代码。”
为了防护此时弊,忽视用户以纯文本样式阅读电子邮件音问。微软还忽视使用Microsoft Outlook来缩短用户掀开来自未知或不受信任着手的RTF文献的风险。
Qualys Threat Research Unit的时弊盘考司理Saeed Abbasi默示:“SPNEGO彭胀协商(NEGOEX)安全机制中的CVE-2025-21295时弊允许未经身份考证的攻击者在莫得用户交互的情况下在受影响系统上长途运积坏心代码。”
汇聚安全方面:
“尽管攻击复杂度较高(AC:H),但告捷欺诈此时弊不错通过报复核快慰全机制层来统统报复企业基础设施,从而导致潜在的数据知道。由于不需要有用的阐述,因此等闲影响的风险很大,这突显了立即应用补丁和积极缓解方法的必要性。”
至于CVE-2025-21294,微软默示,坏心步履者不错通过聚合到需要摘录身份考证的系统,触发竞态要求以创建用后开释(use-after-free)场景,然后欺诈它来推论即兴代码,从而告捷欺诈此时弊。
Immersive Labs的汇聚安全工程师Ben Hopkins默示:“Microsoft Digest是事业器在领受到来自客户端的第一个挑战反馈时推论运回身份考证的应用身手。事业器通过查验客户端是否已进行身份考证来责任。CVE-2025-21294波及欺诈此经由,使攻击者唐突兑现长途代码推论(RCE)。”
在被标志为更可能被欺诈的时弊列表中,有一个影响Windows BitLocker的信息知道时弊(CVE-2025-21210,CVSS评分:4.2)。假定攻击者唐突得到对受害者机器硬盘的物理探访权限人体艺术照,该时弊可能会允许收复以明文形态存在的睡眠映像。
Immersive Labs的要挟盘考高等总监Kev Breen默示:“当条记本电脑参预睡眠景况时,会使用睡眠映像,其中包含了征战断电时RAM中存储的施行。”
“这具有关键的潜在影响,因为RAM可能包含明锐数据(如密码、阐述和个东说念主身份信息),这些数据可能存在于掀开的文档或浏览器会话中,况且王人不错使用免费器具从睡眠文献中收复。”
来自其他供应商的软件补丁#
除了微软除外,往常几周还有其他多家供应商发布了安全更新,以诞生多个时弊,包括:
Adobe
亚马逊汇聚事业 (Amazon Web Services)
Arm
华硕 (ASUS)
博通 (Broadcom)(包括VMware)
想科 (Cisco)
D-Link
戴尔 (Dell)
Drupal
F5
飞塔 (Fortinet)
Fortra
GitHub
GitLab
谷歌Android和Pixel征战
谷歌Chrome浏览器
谷歌云平台 (Google Cloud)
惠普 (HP)
惠普企业 (HP Enterprise)(包括Aruba汇聚)
华为 (Huawei)
IBM
Imagination Technologies
Ivanti
瞻博汇聚 (Juniper Networks)
期许 (Lenovo)
Linux刊行版:Amazon Linux、Debian、Oracle Linux、Red Hat、Rocky Linux、SUSE和Ubuntu
性生活MediaTek
莫克沙 (Moxa)
Mozilla Firefox浏览器、Firefox ESR版及Thunderbird邮件客户端
NVIDIA
帕洛阿尔托汇聚 (Palo Alto Networks)
Phoenix Technologies
高通 (Qualcomm)
罗克韦尔自动化 (Rockwell Automation)
Rsync
Salesforce
三星 (Samsung)
SAP
施耐德电气 (Schneider Electric)
西门子 (Siemens)
SimpleHelp
SonicWall
Splunk
Veeam
Zoho ManageEngine
Zoom视频会议软件
奇侠 (Zyxel)
这些供应商发布的安全更新旨在普及各自产物的安全性人体艺术照,保护用户免受潜在的汇聚攻击要挟。