2025年2月安全更新回顾
我们已成功度过Pwn2Own Automotive赛事,迎来2025年的第二个补丁星期二。微软和Adobe照例发布了最新的安全补丁。暂缓手头工作,与我们一同深入了解这些最新安全公告的细节。若您更倾向于观看完整的发布视频回顾,可点击此处查看:
Adobe 2025年2月补丁
本月,Adobe发布了七份公告,修复了Adobe InDesign、Commerce、Substance 3D Stager、InCopy、Illustrator、Substance 3D Designer和Adobe Photoshop Elements中的45个CVE漏洞。其中Commerce的更新规模最大,涉及31个CVE。修复的漏洞中既包括跨站脚本(XSS)问题,也有安全功能绕过和严重级别的代码执行漏洞。InDesign的更新修复了七个漏洞,其中四个被评为严重级别。Illustrator中的三个漏洞同样被评为严重,可能在打开恶意文件时导致任意代码执行。
Substance 3D Stager的补丁修复了一个拒绝服务(DoS)漏洞。InCopy的修复也针对单个漏洞,但这是一个严重级别的代码执行漏洞。Substance 3D Designer的补丁情况类似。Adobe本月的最后一个补丁修复了Photoshop Elements中一个重要级别的权限提升漏洞。
Adobe本月修复的所有漏洞均未在发布时被列为公开已知或遭受主动攻击。Adobe将这些更新的部署优先级评级为3。
微软2025年2月补丁
本月,微软在Windows及Windows组件、Office及Office组件、Azure、Visual Studio和远程桌面服务中发布了57个新CVE。其中两个通过Trend ZDI项目提交。加上第三方CVE,整个发布共涵盖67个CVE。
在今天发布的补丁中,四个被评为严重,52个被评为重要,一个被评为中等严重性。经过几次破纪录的发布后,本次修复数量更符合预期。希望这种趋势而非大规模发布成为2025年的常态。
其中两个漏洞被列为公开已知,另外两个在发布时被列为遭受主动攻击。让我们仔细看看本月一些更有趣的更新,从当前正在被利用的漏洞开始:
-
CVE-2025-21391 - Windows存储权限提升漏洞
这是本月发布中正在被野外利用的漏洞之一,是一种我们此前未公开见过被利用的漏洞类型。该漏洞允许攻击者删除目标文件。这如何导致权限提升?我的同事Simon Zuckerbraun在此详细介绍了该技术。虽然我们过去见过类似问题,但这似乎是该技术首次在野外被利用。它很可能与代码执行漏洞配对以完全控制系统。请快速测试并部署此补丁。 -
CVE-2025-21418 - Windows WinSock辅助功能驱动程序权限提升漏洞
这是另一个正在被主动利用的漏洞,但比另一个更传统。在这种情况下,经过身份验证的用户需要运行一个特制程序,最终以SYSTEM权限执行代码。这就是为什么这类漏洞通常与代码执行漏洞配对以接管系统。微软未提供这些攻击的广泛程度信息,但无论攻击目标多么特定,我都建议快速测试和部署这些补丁。 -
CVE-2025-21376 - Windows轻量级目录访问协议(LDAP)远程代码执行漏洞
该漏洞允许远程未经身份验证的攻击者仅通过向目标发送恶意制作的请求,在受影响系统上运行其代码。由于不涉及用户交互,这使得该漏洞可在受影响的LDAP服务器之间蠕虫传播。微软将此列为“可能被利用”,因此即使可能性不大,我也建议将其视为即将发生的利用。请快速测试和部署补丁。 -
CVE-2025-21387 - Microsoft Excel远程代码执行漏洞
这是多个Excel修复中的一个,其中预览窗格是攻击向量,这令人困惑,因为微软还指出需要用户交互。他们还指出需要多个补丁来完全解决此漏洞。这可能通过打开恶意Excel文件或在Outlook中预览恶意附件来利用。无论哪种方式,请确保测试和部署所有需要的补丁。
以下是微软2025年2月发布的CVE完整列表:
| CVE | 标题 | 严重性 | CVSS | 公开 | exploited | 类型 |
|---|---|---|---|---|---|---|
| CVE-2025-21418 | Windows WinSock辅助功能驱动程序权限提升漏洞 | 重要 | 7.8 | 否 | 是 | EoP |
| CVE-2025-21391 | Windows存储权限提升漏洞 | 重要 | 7.1 | 否 | 是 | EoP |
| …(表格内容继续)… |
*表示此CVE已由第三方发布,现被纳入微软发布。
†表示需要进一步管理操作以完全解决漏洞。
继续其他严重级别的漏洞,DHCP服务器中存在一个代码执行漏洞,但只能由相邻攻击者访问。它还需要中间人(MITM)利用,因此此漏洞极不可能在野外被利用。另一个严重级别的漏洞在Microsoft Dynamics 365中,已被微软解决,因此无需行动。
查看其他代码执行漏洞,许多补丁影响Excel和其他Office组件。许多Excel漏洞也将预览窗格作为攻击向量,但微软再次指出需要用户交互。其中一些更新需要多个补丁,因此在部署更新时请注意。SharePoint中的漏洞确实需要特殊权限,但任何可以在SharePoint中创建站点的人都具有适当权限。摘要身份验证中的两个漏洞可以远程触发,但需要身份验证。电话服务和路由和远程访问服务(RRAS)有多个修复,但这些都不太可能被利用。最后一个RCE漏洞在高性能计算(HPC)包中,可能允许攻击者在连接到目标头节点的其他集群或节点上执行RCE。HPC集群通常很复杂,但这里只有一个补丁需要测试和部署。
本月发布中修复了一些权限提升漏洞,其中大多数要么导致SYSTEM级代码执行,要么在经过身份验证的用户运行特制代码时获得管理权限。其中一个由Trend ZDI的Simon Zuckerbraun报告。CVE-2025-21373是一个链接跟随漏洞。尽管“msiserver”服务受重定向保护缓解措施保护,但如果攻击者可以挂载NTFS格式的可移动驱动器(如USB驱动器),则可以绕过缓解措施。在这种情况下,低权限用户可以使用此漏洞提升权限并以SYSTEM身份执行代码。
这种权限提升漏洞风格有一些例外。Windows安装文件中的漏洞可能允许文件删除,类似于正在被主动利用的漏洞。NTFS中的漏洞可以列出文件夹内容,但尚不清楚这如何导致提升。AutoUpdate中的漏洞仅在macOS版本中,导致root权限。微软未提供有关Azure Network Watcher中漏洞的详细信息,仅表示攻击需要贡献者或所有者权限。最后,Visual Studio中的漏洞将允许攻击者获得运行受影响应用程序的用户权限。
本次发布中包含两个安全功能绕过(SFB)漏洞,Microsoft Surface中的漏洞被列为公开已知。这可能允许攻击者避免UEFI保护,但利用存在大量注意事项。内核中的漏洞从政策角度来看很有趣。该漏洞允许攻击者绕过用户访问控制(UAC)提示。微软过去不修复此类漏洞,因为他们声称UAC不是安全边界——因此,UAC绕过不是安全错误。通过此修复,微软悄然宣布已改变对此政策的看法。
本月只有一个信息泄露漏洞,那是针对Excel的。它仅导致未指定内存内容的信息泄漏。远程桌面中还有一个篡改漏洞,但微软未说明被篡改的内容。他们确实指出需要MITM攻击。
本月修复了九个不同的拒绝服务(DoS)漏洞,与往常一样,细节很少。DHCP服务器和Internet连接共享(ICS)服务中的漏洞需要网络相邻攻击者。其他需要攻击者向目标发送特制消息。但是,Windows部署服务中的漏洞不同。首先,它是一个本地漏洞,需要身份验证。攻击者可以覆盖文件内容并导致服务不可用。
最后,发布中修复了三个欺骗漏洞。第一个是NTLM中公开已知的漏洞。正如预期,NTLM欺骗意味着中继NTLMv2哈希。Outlook中的欺骗漏洞影响您的垃圾邮件文件夹,可能使发件人显示为其他人。微软未提供有关Edge for iOS and Android中漏洞的信息。如果您是少数在iOS或Android上使用Edge的用户之一,请前往各自的应用商店下载更新。
本月未发布新公告。
展望未来
2025年的下一个补丁星期二将在3月11日,我将带着对发布的分析和思考回归。届时,请注意安全,快乐打补丁,愿所有重启顺利无误!