微软产品高危漏洞紧急补丁发布:远程代码执行风险与防护指南

微软于2025年5月13日发布多个产品安全补丁,修复可导致远程代码执行的高危漏洞。本文详细分析受影响系统、威胁等级,并提供完整的缓解措施和防护建议。

微软产品关键补丁发布(2025年5月13日)

MS-ISAC 通告编号:2025-048
发布日期:2025年5月14日

概述

微软产品中发现多个安全漏洞,其中最严重的漏洞可能允许攻击者以登录用户权限执行远程代码。根据用户权限的不同,攻击者可安装程序、查看/修改/删除数据,或创建具有完全用户权限的新账户。系统权限配置较低的用户受影响程度可能低于管理员权限用户。

威胁情报

目前未发现这些漏洞在野被利用的报告。

受影响系统

  • Visual Studio Code
  • Windows 内核
  • .NET、Visual Studio 和 Visual Studio 生成工具
  • 远程桌面网关服务
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Windows 安全内核模式
  • Windows 硬件实验室工具包
  • Azure DevOps
  • Microsoft Edge(基于 Chromium)
  • Microsoft Dataverse
  • Azure 自动化
  • Windows 可信运行时接口驱动程序
  • Windows 路由和远程访问服务(RRAS)
  • Windows 虚拟机总线
  • Windows 安装程序
  • Windows 驱动程序
  • Windows 文件服务器
  • Windows Media
  • 通用打印管理服务
  • UrlMon
  • Windows LDAP - 轻量级目录访问协议
  • Windows Hyper-V 角色
  • Windows SMB
  • Windows 部署服务
  • Windows 远程桌面
  • Active Directory 证书服务(AD CS)
  • Windows 基础组件
  • Microsoft 代理文件系统
  • Web 威胁防御(WTD.sys)
  • Azure 存储资源提供程序
  • Azure 文件同步
  • Microsoft PC Manager
  • Microsoft Office SharePoint
  • Microsoft Office Excel
  • Microsoft Office PowerPoint
  • Microsoft Office
  • Windows 通用日志文件系统驱动程序
  • Azure
  • Windows Win32K - GRFX
  • Microsoft 脚本引擎
  • Windows DWM
  • Visual Studio
  • Microsoft Office Outlook
  • Windows NTFS
  • Windows Winsock 辅助功能驱动程序
  • Microsoft Power Apps

风险等级

政府机构:

  • 大中型政府实体:高
  • 小型政府实体:中

企业:

  • 大中型企业实体:高
  • 小型企业实体:中

家庭用户:低

技术摘要

微软产品中发现多个安全漏洞,其中最严重的漏洞可能允许远程代码执行。所有漏洞的完整列表可在参考章节的微软链接中查看。

成功利用最严重的漏洞可能导致攻击者获得与登录用户相同的权限。根据用户权限的不同,攻击者可安装程序、查看/修改/删除数据,或创建具有完全用户权限的新账户。系统权限配置较低的用户受影响程度可能低于管理员权限用户。

建议措施

我们建议采取以下行动:

  1. 立即应用补丁
    在经过适当测试后,立即为受影响系统应用微软提供的相应补丁或缓解措施。(M1051:更新软件)

  2. 建立漏洞管理流程
    保障措施 7.1:建立并维护企业资产的漏洞管理流程文档。每年或在发生可能影响此保障措施的重大企业变更时审查和更新文档。

  3. 执行自动化补丁管理
    保障措施 7.4:通过月度或更频繁的自动化补丁管理,对企业资产执行应用程序更新。

  4. 实施最小权限原则
    对所有系统和服务实施最小权限原则,以非特权用户(无管理员权限)身份运行所有软件,以减少成功攻击的影响。(M1026:特权账户管理)

  5. 管理默认账户
    保障措施 4.7:管理企业资产和软件上的默认账户,如 root、administrator 和其他预配置供应商账户。示例实现包括:禁用默认账户或使其无法使用。

  6. 限制管理员权限
    保障措施 5.4:将管理员权限限制为企业资产上的专用管理员账户。从用户的主要非特权账户执行常规计算活动,如互联网浏览、电子邮件和生产力套件使用。

  7. 用户安全意识培训
    提醒所有用户不要访问不受信任的网站或打开未知/不受信任来源提供的链接/文件。(M1017:用户培训)
    保障措施 14.1:建立并维护安全意识计划,教育企业员工如何安全地与企业资产和数据交互。入职时进行培训,至少每年一次。
    保障措施 14.2:培训员工识别社会工程攻击,如网络钓鱼、 pretexting 和尾随攻击。

  8. 端点行为防护
    使用功能防止终端系统上出现可疑行为模式,包括可疑进程、文件、API 调用等行为。(M1040:端点行为防护)
    保障措施 13.2:在适当和/或支持的情况下,在企业资产上部署基于主机的入侵检测解决方案。
    保障措施 13.7:在适当和/或支持的情况下,在企业资产上部署基于主机的入侵防护解决方案。示例实现包括使用端点检测和响应(EDR)客户端或基于主机的 IPS 代理。

参考链接

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次