2025年3月安全更新回顾
2025年3月11日 | Dustin Childs
我们迎来了2025年的第三个补丁星期二,微软和Adobe如期发布了最新的安全更新。让我们暂停手头的工作,一起深入了解这些安全公告的细节。如果您更倾向于观看完整的视频回顾,可以点击此处查看。
Adobe 2025年3月补丁
本月,Adobe发布了七份公告,修复了Adobe Acrobat Reader、Substance 3D Sampler、Illustrator、Substance 3D Painter、InDesign、Substance 3D Modeler和Substance 3D Designer中的37个CVE漏洞。其中六个漏洞是通过ZDI项目报告的。Reader的补丁修复了多个严重级别的代码执行漏洞,这应是部署的重中之重。Illustrator的修复也纠正了一些严重级别的代码执行漏洞,InDesign的补丁同样如此。对于所有产品,攻击者需要诱使用户打开特制文件。
其余补丁均涉及Substance系列产品。Substance 3D Sampler的修复解决了七个漏洞,其中一些为严重级别。Substance 3D Painter的补丁修正了两个代码执行漏洞。Substance 3D Modeler的更新也有两个CVE,但仅一个是代码执行漏洞。最后,Substance 3D Designer的补丁修复了两个严重级别的代码执行漏洞。
Adobe本月修复的所有漏洞在发布时均未列为公开已知或遭活跃利用。Adobe将这些更新的部署优先级评为3级。
微软2025年3月补丁
本月,微软在Windows和Windows组件、Office和Office组件、Azure、.NET和Visual Studio、远程桌面服务、DNS服务器和Hyper-V服务器中发布了56个新CVE。其中一个遭活跃利用的漏洞是通过Trend ZDI项目提交的。加上第三方CVE,整个发布共涉及67个CVE。
在今天发布的补丁中,六个被评为严重,50个被评为重要。这与上个月的发布量几乎相同,但遭活跃利用的漏洞数量异常之多。其中一个漏洞列为公开已知,另外六个在发布时列为遭活跃攻击。让我们仔细看看本月一些更有趣的更新,首先是Trend研究人员发现的漏洞:
-
CVE-2025-26633 - Microsoft管理控制台安全功能绕过漏洞
该漏洞由Aliakbar Zahravi发现,已在野外发现并用于定向攻击。具体缺陷存在于MSC文件的处理中。产品在加载意外MSC文件前不会警告用户。攻击者可利用此漏洞规避文件信誉保护,并在当前用户上下文中执行代码。这里需要用户交互,但这似乎对攻击者(EncryptHub,又名Larva-208)不是问题。已有超过600个组织受这些威胁行为者影响,请快速测试和部署此修复,以确保您的组织不被加入列表。Ali将很快发布有关这些攻击的更多细节。 -
CVE-2025-24993 - Windows NTFS远程代码执行漏洞
CVE-2025-24985 - Windows快速FAT文件系统驱动程序远程代码执行漏洞
这是另外两个被利用的漏洞,我将它们分组,因为它们由同一操作触发。要利用,用户需要挂载特制的虚拟硬盘(VHD)。有趣的是,这些漏洞的根本原因是溢出;NTFS是基于堆的溢出,快速FAT是整数溢出。一旦利用,攻击者可在受影响系统上执行代码。如果与权限提升(如下所述)配对,他们可以完全接管系统。 -
CVE-2025-24983 - Windows Win32内核子系统权限提升漏洞
这是另一个遭活跃利用的漏洞,但它是更传统的权限提升。在这种情况下,经过身份验证的用户需要运行特制程序,最终以SYSTEM权限执行代码。这就是为什么这些类型的漏洞通常与代码执行漏洞配对以接管系统。微软未提供这些攻击的广泛程度信息,但无论攻击多么有针对性,我都会快速测试和部署这些补丁。 -
CVE-2025-24984/CVE-2025-24991 - Windows NTFS信息泄露漏洞
这是本次发布中最后两个遭活跃攻击的漏洞。它们有不同的触发器,但都仅导致信息泄露,包含未指定的内存内容。CVE-2025-24984需要物理访问,这在活跃攻击中罕见。另一个CVE要求目标挂载特制VHD。即使信息泄露不是目标,但既然被利用,一定值得获取。不要忽视这些。快速测试和部署修复。
以下是微软2025年3月发布的CVE完整列表:
| CVE | 标题 | 严重性 | CVSS | 公开 | 利用 | 类型 |
|---|---|---|---|---|---|---|
| CVE-2025-26633 | Microsoft管理控制台安全功能绕过漏洞 | 重要 | 7 | 否 | 是 | SFB |
| CVE-2025-24985 | Windows快速FAT文件系统驱动程序远程代码执行漏洞 | 重要 | 7.8 | 否 | 是 | RCE |
| …(表格内容继续)… |
*表示此CVE已由第三方发布,现被纳入微软发布。
†表示需要进一步管理操作以完全解决漏洞。
转向其他严重级别的漏洞,DNS服务器中有一个看起来可怕的漏洞,如果攻击者向受影响服务器发送特制DNS响应,可能允许代码执行。然而,服务器解析的可能性极低。过去做过DNS欺骗,这很棘手,因此不太可能被利用。Office中预览窗格作为攻击向量的漏洞更可能被利用,但微软令人困惑地表示需要用户交互。也许目标需要在预览窗格中预览文件?远程桌面服务中的漏洞也令人担忧,因为如果攻击者连接到受影响的RDS网关,可能允许代码执行。远程桌面客户端漏洞不太令人担忧,因为目标需要连接到恶意服务器。Windows子系统 for Linux中的漏洞也不太令人担忧,因为它需要提升权限才能利用。
查看其他代码执行漏洞,Office组件中有不少开放和拥有的漏洞。这包括一个列为公开已知的Access漏洞。有一个Azure PromptFlow的修复,允许远程未经验证的攻击者在受影响系统上运行代码。WinDbg中的漏洞可能由于.NET中加密签名验证不当而允许代码执行。然而,微软未提供任何利用场景细节。exFAT中有一个漏洞,看起来与野外被利用的两个漏洞相似。由于此漏洞未列为被利用,它可能是其中一个(或两个)的变体。最后,RRAS和电话服务中有漏洞,这似乎是每月的标准。我们尚未看到这些类型的漏洞被利用,因此不太担心。
本月发布中修复了一些权限提升漏洞,其中大多数要么导致SYSTEM级代码执行,要么在经验证用户运行特制代码时获得管理权限。除此之外,Hyper-V中的漏洞可能导致内核内存访问。Windows Server中的漏洞可能导致文件删除,然后可转为权限提升。上个月报告了一个类似漏洞遭活跃攻击。Visual Studio中的一个漏洞导致提升到受影响应用程序的权限。Azure命令行集成(CLI)中的漏洞也是如此。ASP.NET Core和Visual Studio中的漏洞允许攻击者提升到受损用户的权限。Azure Arc Installer中的漏洞导致SYSTEM权限,但您需要做的不仅仅是打补丁来解决它。这仅影响通过组策略加入的机器,但如果它们是这样,您需要推出新的GPO以完全解决漏洞。
除了野外被利用的安全功能绕过(SFB)漏洞外,本月发布中还有两个其他SFB修复。第一个在MapUrlToZone中。此漏洞允许攻击者绕过安全功能,并在不正确区域处理URL。另一个在Mark of the Web中,我们过去看到威胁行为者滥用。再次,漏洞允许文件被视为不如它们看起来危险,并且未能警告用户——用户通常点击任何东西。
查看3月发布中的欺骗漏洞,两个列为NTLM哈希泄露。两种情况下都需要用户交互。然而,交互可以简单如单击(选择)恶意文件。如果成功,攻击者然后可以欺骗该NTLM哈希以进一步危害。文件资源管理器欺骗漏洞的详细信息不多,仅表示远程未经验证的攻击者可以“通过网络执行欺骗”。
本月只有两个其他信息泄露漏洞,一个看起来像遭活跃攻击的NTFS信息泄露的变体。再次,它仅产生未指定的内存内容。Windows USB视频驱动程序中的漏洞也是如此,但微软指出这是物理攻击。他们未指定物理攻击类型,但考虑到它在USB组件中,可能意味着插入USB设备。3月发布中仅包含DirectX图形内核文件中的一个拒绝服务(DoS)漏洞,但它需要管理员凭据才能利用。
本月未发布新公告。
展望
2025年的下一个补丁星期二将是4月11日,我将返回分析发布内容。在此之前,保持安全,快乐打补丁,愿所有重启顺利干净!