七月补丁星期二:微软修复130多个新漏洞,重点关注零日威胁

微软在七月补丁星期二发布了超过130个新漏洞的修复,包括10个高危漏洞,涉及Office、SQL Server等多个产品。重点关注CVE-2025-49719等零日威胁,安全专家建议立即部署补丁以防止潜在攻击。

七月补丁星期二带来超过130个新漏洞修复

微软在其月度补丁星期二更新中修复了其产品套件中的130个新常见漏洞和暴露(CVE),包括10个高危漏洞,其中许多涉及Microsoft Office,而一些第三方问题使月度总数达到约140个。然而,尽管范围广泛,微软的最新更新在零日问题上较为轻松。

重点关注漏洞:CVE-2025-49719

实际上,最主要的漏洞——也是唯一接近被归类为零日的漏洞——被追踪为CVE-2025-49719。这是一个Microsoft SQL Server中的信息泄露漏洞,源于不当的输入验证,使未经授权的攻击者能够通过网络泄露信息——特别是未初始化的内存。

该漏洞由微软自己的Vladimir Aleksic发现,被认为相对容易利用,尽管微软没有证据表明它正在被野外利用,但它已经被公开披露,因此攻击可能即将开始。CVE-2025-49719的CVSS评分为7.5,被列为重要严重性。

补丁管理专家Action1的总裁兼联合创始人Mike Walters概述了CVE-2025-49719可能涉及的多种高级攻击场景。

“攻击者可以映射数据库结构,识别注入点,并收集信息以支持更有针对性的入侵,”他说。“或者通过访问未初始化的内存,他们可能会恢复身份验证凭据的片段,从而可能对数据库或相关系统进行进一步攻击。”

Walters补充说:“当与其他技术结合使用时,风险会增加——例如,使用泄露的数据来优化SQL注入、绕过身份验证,或使用包含凭据的连接字符串横向移动到其他系统。”

“对组织的潜在影响是显著的,因为任何使用Microsoft SQL Server的用户都可能受到影响,覆盖了企业数据库市场的很大一部分。”

Walters表示,数据暴露风险使CVE-2025-49719成为任何持有有价值或受监管数据的组织防御者的高度优先关注点。他补充说,受影响版本的全面性——跨越多个版本,可追溯到九年前——可能表明SQL Server在内存管理和输入验证方面存在更“根本性问题”。

10个高危漏洞

按CVE编号顺序,10个高危漏洞如下:

  • CVE-2025-47980 – Windows Imaging Component中的信息泄露漏洞
  • CVE-2025-47981 – SPNEGO扩展协商安全机制中的远程代码执行(RCE)漏洞
  • CVE-2025-48822 – Windows Hyper-V离散设备分配(DDA)中的RCE漏洞
  • CVE-2025-49695 – Microsoft Office中的RCE漏洞
  • CVE-2025-49696 – Microsoft Office中的第二个RCE漏洞
  • CVE-2025-49697 – Microsoft Office中的第三个RCE漏洞
  • CVE-2025-49702 – 同一产品套件中的第四个也是最后一个RCE漏洞
  • CVE-2025-49704 – Microsoft SharePoint中的RCE问题
  • CVE-2025-49717 – Microsoft SQL Server中的RCE漏洞
  • CVE-2025-49735 – Windows KDC代理服务(KPSSVC)中的RCE漏洞

七月补丁星期二更新还列出了AMD处理器中的两个关键第三方RCE漏洞,安全团队应密切关注。

上述12个问题目前均未已知被利用,也没有可用的漏洞利用代码。然而,SPNEGO中的CVE-2025-47981——一个用于在关键服务(许多是面向互联网的)上协商身份验证的重要协议——引起了Qualys威胁研究单元(TRU)高级安全研究经理Saeed Abbasi的注意,他警告说应立即应用此特定补丁。

“一个未经身份验证的NEGOEX数据包可以将攻击者控制的代码直接放入本地安全机构子系统服务(LSASS),以SYSTEM身份运行。不需要点击,不需要凭据——这正是将错误转化为网络蠕虫的配方。这不仅是一个错误——它是一把指向您组织的上膛枪,”他说。

“一旦进入,漏洞利用可以转向每个仍然启用默认PKU2U设置的Windows 10端点。我们预计NEGOEX漏洞利用将在几天内被武器化,因此攻击迫在眉睫。”

“在48小时内打补丁,从面向互联网或VPN可访问的资产以及任何接触AD的东西开始。如果您绝对不能打补丁,请通过GPO禁用‘允许PKU2U身份验证请求’,并在边缘阻止入站135/445/5985,”他说。

WatchTowr创始人兼首席执行官Ben Harris同意这是一个值得关注的问题。他说:“远程代码执行很糟糕,但早期分析表明这个漏洞可能是可蠕虫化的——这种漏洞可能被用于自我传播的恶意软件,让许多人重温WannaCry事件的创伤,以及类似事件。”

“微软在这里明确了先决条件:不需要身份验证,只需要网络访问。我们不应该欺骗自己——如果私营行业已经注意到这个漏洞,它肯定已经在每一个有一丝恶意的攻击者的雷达上。防御者需要放下一切,快速打补丁,并追查暴露的系统。”

NotLogon – AI发现的漏洞

最后本月,Silverfort的高级安全研究员Dor Segal强调了CVE-2025-47978,他的团队在Windows Netlogon协议中发现了这个漏洞,使用人工智能(AI)大语言模型(LLM)扫描和比较旧版本说明,作为测试AI是否能帮助加速漏洞发现过程的一部分。

Silverfort团队将这个问题称为NotLogon——尽管请注意微软的披露称其影响密切相关的Windows Kerberos协议。

尽管严重性不高,但CVE-2025-47978使攻击者能够使用具有最小权限的域加入机器发送特制的身份验证请求,这将导致域控制器崩溃并使系统完全重启。

这种崩溃影响核心Windows LSASS安全进程,并中断Active Directory服务,如用户登录、策略应用和访问依赖于身份验证的资源。

Segal表示,这个问题是一个很好的例子,说明即使具有基本网络访问权限的低权限计算机仍然可能是更大问题的先兆。

“这个漏洞显示了仅凭一个有效的机器账户和一个特制的RPC消息就可以使域控制器崩溃——域控制器是Active Directory操作(如身份验证、授权、策略执行等)的支柱,”他说。

“如果多个域控制器受到影响,它可以使业务停止。NOTLogon提醒我们,新协议功能——尤其是在特权身份验证服务中——可能一夜之间成为攻击面。保持安全不仅仅是应用补丁——它关乎检查我们每天依赖的基础系统。”

“我强烈建议立即在所有域控制器上安装最新的微软补丁星期二更新,同时加强服务和机器账户的访问控制,”他总结道。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次