微软产品高危漏洞补丁紧急发布:远程代码执行风险与防护指南

微软于2025年5月13日发布多个产品高危漏洞补丁,最严重漏洞可导致远程代码执行。本文详细分析受影响系统、风险等级,并提供完整的缓解措施与安全加固建议。

微软产品关键补丁发布(2025年5月13日)

MS-ISAC 公告编号:2025-048
发布日期:2025年5月14日

概述

微软产品中发现多个漏洞,其中最严重的漏洞可能允许攻击者在已登录用户上下文中执行远程代码。根据用户权限,攻击者可安装程序、查看/修改/删除数据,或创建具有完全用户权限的新账户。系统权限较低的用户受影响程度可能低于具有管理员权限的用户。

威胁情报

目前未发现这些漏洞在野被利用的报告。

受影响系统

  • Visual Studio Code
  • Windows 内核
  • .NET、Visual Studio 及 Visual Studio 生成工具
  • 远程桌面网关服务
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Windows 安全内核模式
  • Windows 硬件实验室工具包
  • Azure DevOps
  • Microsoft Edge(基于 Chromium)
  • Microsoft Dataverse
  • Azure 自动化
  • Windows 可信运行时接口驱动程序
  • Windows 路由和远程访问服务(RRAS)
  • Windows 虚拟机总线
  • Windows 安装程序
  • Windows 驱动程序
  • Windows 文件服务器
  • Windows Media
  • 通用打印管理服务
  • UrlMon
  • Windows LDAP(轻量级目录访问协议)
  • Windows Hyper-V 角色
  • Windows SMB
  • Windows 部署服务
  • Windows 远程桌面
  • Active Directory 证书服务(AD CS)
  • Windows 基础组件
  • Microsoft 代理文件系统
  • Web 威胁防御(WTD.sys)
  • Azure 存储资源提供程序
  • Azure 文件同步
  • Microsoft PC Manager
  • Microsoft Office SharePoint
  • Microsoft Office Excel
  • Microsoft Office PowerPoint
  • Microsoft Office
  • Windows 通用日志文件系统驱动程序
  • Azure
  • Windows Win32K - GRFX
  • Microsoft 脚本引擎
  • Windows DWM
  • Visual Studio
  • Microsoft Office Outlook
  • Windows NTFS
  • Windows WinSock 辅助功能驱动程序
  • Microsoft Power Apps

风险等级

  • 政府机构
    • 大中型政府实体:高
    • 小型政府实体:中
  • 企业
    • 大中型企业实体:高
    • 小型企业实体:中
  • 家庭用户:低

技术摘要

微软产品中发现多个漏洞,最严重的可导致远程代码执行。完整漏洞列表详见参考章节的微软链接。成功利用最严重漏洞可使攻击者获得与登录用户相同的权限。根据用户权限,攻击者可安装程序、查看/修改/删除数据,或创建具有完全用户权限的新账户。

建议措施

我们建议采取以下行动:

  1. 立即应用补丁
    在适当测试后立即为易受攻击系统应用微软提供的补丁或缓解措施。(M1051:更新软件)

  2. 漏洞管理流程(保障措施 7.1)
    建立并维护企业资产的漏洞管理流程文档,每年或发生重大变更时审查更新。

  3. 自动化补丁管理(保障措施 7.4)
    每月或更频繁地通过自动化补丁管理执行企业资产的应用更新。

  4. 最小权限原则(M1026)
    对所有系统和服务应用最小权限原则,以非特权用户身份运行软件以减少攻击影响。

  5. 管理默认账户(保障措施 4.7)
    管理企业资产和软件的默认账户(如 root、administrator),禁用或使其不可用。

  6. 限制管理员权限(保障措施 5.4)
    将管理员权限限制为专用管理员账户,日常操作使用非特权账户。

  7. 用户培训(M1017)
    提醒用户不要访问不受信任的网站或打开未知来源的文件/链接。

  8. 安全意识计划(保障措施 14.1)
    建立并维护安全意识计划,每年至少进行一次培训。

  9. 社会工程攻击识别(保障措施 14.2)
    培训员工识别钓鱼、 pretexting 等社会工程攻击。

  10. 端点行为防护(M1040)
    使用功能防止端点系统出现可疑行为模式(如进程、文件、API 调用等)。

  11. 主机入侵检测(保障措施 13.2)
    在支持的企业资产上部署基于主机的入侵检测方案。

  12. 主机入侵防御(保障措施 13.7)
    部署基于主机的入侵防御方案,例如 EDR 客户端或主机 IPS 代理。

参考链接

订阅公告以获取此类网络威胁的邮件更新
相关资源:Microsoft Office、Windows Desktop/Server、Exchange Server、Azure

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次