2025年10月补丁星期二:更新与分析
微软在2025年10月的安全更新中修复了172个漏洞,这是今年单月修复漏洞数量最多的一次。本月补丁包括2个公开披露的漏洞、3个零日漏洞和8个关键漏洞,以及159个不同严重级别的漏洞。
2025年10月风险分析
本月按利用技术分类的主要风险类型是权限提升(80个补丁,占47%)、远程代码执行(31个补丁,占18%)和信息泄露(28个补丁,占16%)。
图1. 2025年10月补丁星期二利用技术细分
微软Windows本月收到的补丁最多,达134个,其次是Microsoft Office(18个)和Azure(6个)。
图2. 2025年10月补丁星期二受影响产品系列细分
Windows 10支持终止
根据先前公告,Windows 10于2025年10月14日正式终止支持。根据微软的说法,要获得Windows 10的扩展安全更新资格,受影响的主机必须升级到22H2版本。这意味着常规Windows 10主机在此日期后将不再接收常规安全更新。截至2025年10月14日,非22H2 Windows 10主机将在CrowdStrike Falcon®暴露管理漏洞管理窗格中被识别为不受支持的软件漏洞。
公开披露的Windows Agere调制解调器驱动程序漏洞
CVE-2025-24052是一个影响Windows Agere调制解调器驱动程序的重要权限提升漏洞,CVSS评分为7.8。该漏洞允许经过身份验证的低权限本地攻击者通过利用第三方Agere调制解调器驱动程序(ltmdm64.sys)中基于栈的缓冲区溢出弱点,将权限提升至管理员级别。
该漏洞已被公开披露。虽然没有证据表明在野活跃利用,但由于有概念验证代码可用,利用可能性较大。此漏洞影响所有支持版本的带有Agere调制解调器驱动程序的Windows系统,需要本地访问才能利用,攻击复杂度低,需要低权限但无需用户交互。
成功利用后,攻击者可以获得管理员权限,可能完全破坏受影响Windows系统的机密性、完整性和可用性。值得注意的是,即使调制解调器未主动使用,此漏洞也可被利用。微软在10月累积更新中移除了ltmdm64.sys驱动程序,这将导致依赖此驱动程序的传真调制解调器硬件在Windows上无法工作。
表1. 公开披露的Windows Agere调制解调器驱动程序漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 重要 | 7.8 | CVE-2025-24052 | Windows Agere调制解调器驱动程序权限提升漏洞 |
公开披露的TCG TPM2.0参考实现漏洞
CVE-2025-2884是一个影响TCG TPM2.0参考实现的重要信息泄露漏洞,CVSS评分为5.3。该漏洞允许经过身份验证的低权限本地攻击者通过利用CryptHmacSign辅助函数中由于缺乏签名方案与签名密钥算法的验证而导致的越界读取弱点来泄露敏感信息。
该漏洞已被公开披露。虽然没有证据表明在野活跃利用,但利用可能性较小。该漏洞影响使用TCG TPM2.0参考实现的系统,需要本地访问才能利用,攻击复杂度高,需要低权限但无需用户交互。
成功利用后,攻击者可以通过信息泄露实现高机密性影响,并对受影响系统产生低可用性影响,但无法破坏系统完整性。记录的Windows更新包含了解决此漏洞的TCG TPM2.0参考实现更新。
表2. 公开披露的TCG TPM2.0参考实现漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 重要 | 5.3 | CVE-2025-2884 | TCG TPM2.0参考实现中的越界读取漏洞 |
零日漏洞:Windows远程访问连接管理器
CVE-2025-59230是一个影响Windows远程访问连接管理器的重要权限提升漏洞,CVSS评分为7.8。该漏洞允许经过身份验证的低权限本地攻击者通过利用Windows远程访问连接管理器中的不当访问控制弱点并获得对系统的本地访问权限,将其权限提升至SYSTEM级别。
2025年10月,CrowdStrike发现了一个利用零日(当时)漏洞的本地权限提升二进制文件。微软随后披露、修补并确认此漏洞(现跟踪为CVE-2025-59230)已在野被利用。CrowdStrike Counter Adversary Operations评估至少有一个威胁行为者可能已经利用或计划在近期利用最近披露的CVE-2025-59230。
该漏洞影响带有远程访问连接管理器的Windows系统,需要本地访问才能利用,攻击复杂度低,需要低权限但无需用户交互。成功利用后,攻击者可以获得SYSTEM权限,可能完全破坏受影响Windows系统的机密性、完整性和可用性。
表3. Windows远程访问连接管理器中的重要零日漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 重要 | 7.8 | CVE-2025-59230 | Windows远程访问连接管理器权限提升漏洞 |
零日漏洞:Windows Agere调制解调器驱动程序
CVE-2025-24990是一个影响Windows Agere调制解调器驱动程序的重要权限提升漏洞,CVSS评分为7.8。该漏洞允许经过身份验证的低权限本地攻击者通过利用随支持Windows操作系统原生提供的第三方Agere调制解调器驱动程序(ltmdm64.sys)中的不受信任指针解引用弱点,将其权限提升至管理员级别。
有证据表明在野存在活跃利用,且功能利用代码可用,并已检测到利用活动。该漏洞影响所有支持版本的带有Agere调制解调器驱动程序的Windows系统,需要本地访问才能利用,攻击复杂度低,需要低权限但无需用户交互。成功利用后,攻击者可以获得管理员权限,可能完全破坏受影响的Windows系统。
表4. Windows Agere调制解调器驱动程序管理器中的重要零日漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 重要 | 7.8 | CVE-2025-24990 | Windows Agere调制解调器驱动程序权限提升漏洞 |
零日漏洞:IGEL OS版本11之前的安全启动
CVE-2025-47827是一个影响版本11之前IGEL OS版本的重要安全功能绕过漏洞,CVSS评分为4.6。该漏洞允许未经身份验证的物理攻击者通过利用igel-flash-driver模块中使用过期密钥的弱点来绕过安全启动,该模块不当验证加密签名并允许从未经验证的SquashFS映像挂载特制的根文件系统。
有证据表明在野存在活跃利用,且功能利用代码可用。该漏洞需要物理访问才能利用,攻击复杂度低,无需权限或用户交互。成功利用后,攻击者可以绕过安全启动安全功能,可能对受影响系统造成高可用性、完整性和机密性影响。
表5. IGEL OS版本11之前安全启动中的重要零日漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 重要 | 4.6 | CVE-2025-47827 | IGEL OS版本11之前的安全启动绕过漏洞 |
关键漏洞:Microsoft图形组件
CVE-2025-49708是一个影响Microsoft图形组件的严重权限提升漏洞,CVSS评分为9.9。该漏洞允许经过身份验证的低权限远程攻击者通过利用Microsoft图形组件中通过网络连接的释放后使用弱点,将其权限提升至SYSTEM级别。
该漏洞尚未公开披露,没有证据表明在野活跃利用,但利用可能性较小。该漏洞影响使用Microsoft图形组件的Windows系统,可以通过互联网远程利用,攻击复杂度低,无需用户交互。
成功利用后,攻击者可以通过访问本地客户虚拟机(VM)来攻击主机操作系统,从而获得SYSTEM权限,可能完全破坏受影响Windows系统的机密性、完整性和可用性,并由于此漏洞的变更范围性质影响同一主机上运行的其他VM。
表6. Microsoft图形组件中的关键漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 严重 | 9.9 | CVE-2025-49708 | Microsoft图形组件权限提升漏洞 |
关键漏洞:Windows服务器更新服务
CVE-2025-59287是一个影响Windows服务器更新服务(WSUS)的严重远程代码执行漏洞,CVSS评分为9.8。该漏洞允许未经身份验证的远程攻击者通过利用WSUS中通过网络连接的不可信数据不安全反序列化来执行任意代码。
该漏洞尚未公开披露,没有证据表明在野活跃利用,但利用可能性较大。该漏洞影响运行WSUS的Windows系统,可以通过互联网远程利用,攻击复杂度低,无需权限或用户交互。
成功利用后,攻击者可以通过发送触发旧序列化机制中不安全对象反序列化的特制事件来实现远程代码执行,可能完全破坏受影响WSUS系统的机密性、完整性和可用性。
表7. Windows服务器更新服务(WSUS)中的关键漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 严重 | 9.8 | CVE-2025-59287 | Windows服务器更新服务(WSUS)远程代码执行漏洞 |
关键漏洞:Microsoft Office
CVE-2025-59236是一个影响Microsoft Excel的严重远程代码执行漏洞,CVSS评分为8.4。该漏洞允许未经身份验证的本地攻击者通过利用Microsoft Office Excel中通过本地访问系统的释放后使用弱点来执行任意代码。成功利用后,攻击者可以在受影响系统上本地实现任意代码执行。
CVE-2025-59234是一个影响Microsoft Office的严重远程代码执行漏洞,CVSS评分为7.8。该漏洞允许未经身份验证的本地攻击者通过利用Microsoft Office中通过本地访问系统的释放后使用弱点来执行任意代码,需要用户交互。
CVE-2025-59227是一个影响Microsoft Office的严重远程代码执行漏洞,CVSS评分为7.8。该漏洞允许未经身份验证的本地攻击者通过利用通过本地访问系统的释放后使用弱点来执行任意代码,需要用户交互。
这些漏洞尚未公开披露,没有证据表明在野活跃利用。利用需要本地访问,攻击复杂度低。不需要权限,但需要用户交互。成功利用后,当用户打开恶意文件时,攻击者可以实现任意代码执行。预览窗格在类似漏洞(2023年4月、2023年7月、2023年12月、2024年10月、2025年1月、2025年2月、2025年4月、2025年6月、2025年9月)中一直是常见的攻击向量。
表8. Microsoft Office中的关键漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 严重 | 8.4 | CVE-2025-59236 | Microsoft Excel远程代码执行漏洞 |
| 严重 | 7.8 | CVE-2025-59234 | Microsoft Office远程代码执行漏洞 |
| 严重 | 7.8 | CVE-2025-59227 | Microsoft Office远程代码执行漏洞 |
关键漏洞:Microsoft Azure
CVE-2025-59291是一个影响机密Azure容器实例的严重权限提升漏洞,CVSS评分为8.2。该漏洞允许经过身份验证的高权限本地攻击者通过利用机密Azure容器实例中通过本地访问系统的文件名或路径外部控制弱点来提升其权限。
该漏洞需要本地访问才能利用,攻击复杂度低,需要高权限但无需用户交互。成功利用后,攻击者可以通过诱骗系统将恶意文件共享挂载到敏感位置,在机密ACI边车容器中获得代码执行,从主机控制升级到机密容器,可能完全破坏受影响的系统。
CVE-2025-59292是一个影响Azure计算库的严重权限提升漏洞,CVSS评分为8.2。该漏洞允许经过身份验证的高权限本地攻击者通过利用Azure计算库中通过本地访问系统的文件名或路径外部控制弱点来提升其权限。
该漏洞需要本地访问才能利用,攻击复杂度低,需要高权限但无需用户交互。成功利用后,攻击者可以通过诱骗系统将恶意文件共享挂载到敏感位置,在机密ACI边车容器中获得代码执行,从主机控制升级到机密容器,可能完全破坏受影响的系统。
由于这些漏洞的变更范围性质,成功攻击允许容器主机在目标客户环境中执行代码,扩大了最初受损组件之外的影响。这些漏洞尚未公开披露,没有证据表明在野活跃利用,但利用可能性较小。
表9. Microsoft Azure中的关键漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 严重 | 8.2 | CVE-2025-59291 | 机密Azure容器实例权限提升漏洞 |
| 严重 | 8.2 | CVE-2025-59292 | Azure计算库权限提升漏洞 |
关键漏洞:LibTIFF
CVE-2016-9535是一个影响LibTIFF的严重远程代码执行漏洞,CVSS评分为4.0。该漏洞允许未经身份验证的本地攻击者通过利用LibTIFF的tif_predict.h和tif_predict.c组件在处理异常图块大小(如带子采样的YCbCr)时的堆缓冲区溢出弱点,导致拒绝服务或可能执行任意代码。
该漏洞尚未公开披露,没有证据表明在野活跃利用,但利用可能性较小。该漏洞影响使用LibTIFF 4.0.6的系统,需要本地访问才能利用,攻击复杂度低,无需权限或用户交互。成功利用后,攻击者可以在调试模式下导致断言失败,或在发布模式下导致缓冲区溢出,可能对受影响系统产生低可用性影响。
表10. LibTIFF中的关键漏洞
| 严重性 | CVSS评分 | CVE | 描述 |
|---|---|---|---|
| 严重 | 4.0 | CVE-2016-9535 | LibTIFF远程代码执行漏洞 |
Falcon平台中的补丁星期二仪表板
要可视化查看受本月漏洞影响的系统,您可以使用我们的补丁星期二仪表板。这可以在CrowdStrike Falcon®平台中的"暴露管理 > 漏洞管理 > 仪表板"页面找到。预设仪表板显示最近三个月的补丁星期二漏洞。
并非所有相关漏洞都有补丁:考虑缓解策略
正如我们从其他值得注意的漏洞(如Log4j)中学到的,并非每个高度可利用的漏洞都可以轻松修补。对于ProxyNotShell漏洞,制定当不存在修补协议时如何防御环境的响应计划至关重要。
定期审查修补策略仍应是您计划的一部分,但您还应更全面地审视组织的网络安全方法,并改善整体安全状况。
关于CVSS评分
通用漏洞评分系统(CVSS)是一个免费开放的行业标准,CrowdStrike和许多其他网络安全组织使用它来评估和传达软件漏洞的严重性和特征。CVSS基础评分范围从0.0到10.0,国家漏洞数据库(NVD)为CVSS评分添加严重性评级。