2025年10月微软补丁星期二 - Snort规则与重大漏洞分析

微软2025年10月安全更新修复了175个微软CVE和21个非微软CVE,包含17个关键漏洞和11个高利用可能性漏洞。文章详细分析了已被利用的漏洞、关键安全风险,并提供了相应的Snort检测规则。

微软2025年10月补丁星期二 — Snort规则和重大漏洞

作者:Tiago Pereira
发布时间:2025年10月14日 16:39

补丁星期二概览

微软已发布2025年10月月度安全更新,共修复175个微软CVE和21个非微软CVE。其中17个漏洞被评定为关键级别,11个被标记为重要且更可能被利用。当前情报显示,已有3个重要漏洞在野被检测到。

以下内容简要概述了最显著的问题,重点关注可能影响最广泛用户群或具有最高严重性的漏洞。

在野被利用的漏洞

三个漏洞已确认在野被利用:

CVE‑2025‑24990:Windows Agere调制解调器驱动程序权限提升漏洞
微软在支持的Windows操作系统附带的第三方Agere调制解调器驱动程序中发现了缺陷。该驱动程序已在10月累积更新中被永久移除。依赖此驱动程序的传真调制解调器硬件用户应卸载任何剩余组件,因为受影响驱动程序不再受支持。

CVE‑2025‑59230:Windows远程访问连接管理器权限提升漏洞
Windows远程访问连接管理器中的访问控制检查不当,允许授权攻击者在访问服务时提升本地权限。

CVE‑2025‑47827:IGEL OS 11之前版本的Secure Boot绕过漏洞
由于igel-flash-driver模块执行了不正确的加密签名验证,此漏洞允许特制的根文件系统在IGEL OS 11之前版本上绕过Secure Boot。

关键漏洞

微软在此版本中将17个漏洞标记为关键级别。虽然尚未观察到这些漏洞在野被利用,但其严重性需要及时修复。

CVE‑2025‑59287 Windows服务器更新服务(WSUS)远程代码执行漏洞
WSUS中不受信任数据的反序列化允许攻击者远程执行代码,可能危及易受攻击服务器上的更新服务。

CVE‑2025‑59246、CVE‑2025‑59218 Azure Entra ID权限提升漏洞
攻击者可利用Azure Entra ID提升权限,影响身份平台的访问控制。

CVE‑2025‑0033 SNP初始化期间的RMP损坏
AMD EPYC SEV‑SNP处理器中反向映射表初始化期间的竞争条件,允许具有特权控制的管理程序在RMP条目被锁定前修改它们。Azure机密计算产品包含多重防护措施以防止主机被入侵。

CVE‑2025‑59234 Microsoft Office远程代码执行漏洞
Microsoft Office中的释放后使用漏洞使攻击者能够在受影响系统上本地执行代码,前提是存在易受攻击的内容。

CVE‑2025‑49708 Microsoft图形组件权限提升漏洞
未经身份验证的网络攻击者可通过释放后使用逻辑操纵图形组件,在目标机器上提升权限。

CVE‑2025‑59291 机密Azure容器实例权限提升漏洞
机密Azure容器实例中文件名或路径的外部控制,允许特权攻击者在容器环境内本地提升权限。

CVE‑2025‑59292 Azure计算库权限提升漏洞
文件名或路径的误用可使特权攻击者在Azure计算库上下文中获得提升权限。

CVE‑2025‑59227 Microsoft Office远程代码执行漏洞
利用此漏洞将允许在多个Windows版本上的Office应用程序中进行远程执行。

CVE‑2025‑59247 Azure PlayFab权限提升漏洞
未经授权的参与者可操纵PlayFab服务以提升权限,影响底层Azure基础设施。

CVE‑2025‑59252、CVE‑2025‑59272、CVE‑2025‑59286 Copilot欺骗漏洞
Microsoft 365 Copilot中用户提供数据的不当清理和编码导致欺骗攻击。

CVE‑2025‑59271 Redis Enterprise权限提升漏洞
Redis Enterprise服务器可能因配置疏忽允许权限提升,影响托管的Azure Redis服务。

CVE‑2025‑55321 Azure Monitor Log Analytics欺骗漏洞
Azure Monitor中的跨站脚本(XSS)允许网络攻击者在Log Analytics门户内执行欺骗攻击。

CVE‑2025‑59236 Microsoft Excel远程代码执行漏洞
未经授权的攻击者可触发Microsoft Excel中的释放后使用,导致目标系统上的本地代码执行。

CVE‑2016‑9535 LibTIFF堆缓冲区溢出
libtiff库包含堆缓冲区溢出,可通过格式错误的TIFF文件触发,可能允许攻击者在用户上下文下执行任意代码。

高利用可能性漏洞

Talos还强调11个更可能被利用的重要漏洞:CVE‑2025‑48004、CVE‑2025‑24052、CVE‑2025‑55676、CVE‑2025‑55681、CVE‑2025‑58722、CVE‑2025‑59199、CVE‑2025‑55680、CVE‑2025‑55692、CVE‑2025‑55693、CVE‑2025‑55694CVE‑2025‑59194。这些漏洞范围涵盖从远程代码执行到桌面和云环境中的权限提升。

安全建议和Snort规则

安全团队应检查每个CVE的详细咨询文档,以了解确切范围和缓解措施。微软本月披露的所有其他漏洞的完整列表可在其更新页面上找到。

针对这些漏洞披露,Talos发布了新的Snort规则集,可检测利用其中某些漏洞的尝试。请注意,未来可能会发布其他规则,当前规则可能会根据额外信息进行更改。

Cisco安全防火墙客户应通过更新其SRU来使用其规则集的最新更新。开源Snort订阅者规则集客户可通过下载Snort.org上可供购买的最新规则包来保持最新状态。

此版本中包含的Snort 2规则可防止许多这些漏洞的利用:65391 - 65410, 64420 - 65422。

以下Snort 3规则也可用:301325 - 301334。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次