2025年4月安全更新回顾

2025年4月8日 | Dustin Childs

每月的第二个星期二，微软和Adobe如期发布了最新的安全更新——全部免费。让我们暂停手头的工作，一起深入了解这些最新安全警报的细节。如果您更倾向于观看完整的视频回顾，可以点击这里查看。

Adobe 2025年4月补丁

本月，Adobe发布了12个公告，修复了Adobe Cold Fusion、After Effects、Media Encoder、Bridge、Commerce、AEM Forms、Premiere Pro、Photoshop、Animate、AEM Screens、FrameMaker和Adobe XMP Toolkit SDK中的54个CVE。Adobe将Cold Fusion的更新列为优先级1，但表示目前没有针对这些漏洞的野外利用。AEM Forms的补丁被设置为优先级2，这些并非新的CVE，只是依赖项的更新。Commerce的补丁也被标记为优先级2，尽管涉及的CVE评级为重要和中等级别，但安全绕过问题不容忽视。Adobe的所有其他补丁均列为优先级3。

After Effects的补丁修复了七个漏洞，其中两个是关键代码执行缺陷。Media Encoder的修复纠正了两个代码执行错误。Bridge更新中只有一个关键修复，Premiere Pro和Photoshop的补丁也是如此。Animate的补丁解决了两个关键和两个重要漏洞。AEM Screens补丁修复了一个跨站脚本（XSS）漏洞。FrameMaker的更新修复了10个CVE，包括多个代码执行错误。最后，Adobe XMP Toolkit SDK的补丁修复了五个不同的越界（OOB）读取内存泄漏问题。

Adobe本月修复的所有漏洞在发布时均未列为公开已知或正在被主动利用。

微软2025年4月补丁

本月，微软在Windows和Windows组件、Office和Office组件、Azure、.NET和Visual Studio、BitLocker、Kerberos、Windows Hello、OpenSSH和Windows轻量级目录访问协议（LDAP）中发布了高达124个新CVE。其中一个漏洞通过Trend ZDI程序报告。加上记录的第三方CVE，总CVE数达到134个。

在今天发布的补丁中，11个被评为关键，两个被评为低，其余被评为重要。4月的发布往往更密集，这一输出水平不负众望。令人稍感安慰的是，只有一个漏洞在发布时被列为公开已知或正在被主动利用。

让我们仔细看看本月一些更有趣的更新，从当前正在野外被利用的漏洞开始：

• CVE-2025-29824 - Windows通用日志文件系统驱动程序权限提升漏洞
  此权限提升漏洞被列为正在被主动利用，允许威胁行为者以SYSTEM权限执行其代码。这类漏洞通常与代码执行漏洞配对以接管系统。微软未表明这些攻击的广泛程度。无论如何，请快速测试和部署此更新。

• CVE-2025-26663/CVE-2025-26670 - Windows轻量级目录访问协议（LDAP）远程代码执行漏洞
  这些漏洞允许远程未认证攻击者仅通过发送特制的LDAP消息在受影响系统上执行其代码。他们需要赢得竞态条件，但我们已经看到许多漏洞利用绕过了这一要求。由于几乎任何东西都可以托管LDAP服务，目标众多。由于不涉及用户交互，这些漏洞是可蠕虫化的。LDAP确实不应允许通过您的网络边界，但不要仅依赖于此。快速测试和部署这些更新——除非您运行的是Windows 10。这些补丁尚不可用。

• CVE-2025-27480/CVE-2025-27482 - Windows远程桌面服务远程代码执行漏洞
  这里还有更多不依赖用户交互的关键评级漏洞。攻击者只需连接到具有远程桌面网关角色的受影响系统即可触发另一个竞态条件，导致代码执行。RDS常用于远程管理，因此通常可从互联网访问。如果您必须将其开放给外界，请考虑将IP限制为已知用户，然后测试和部署这些补丁。

• CVE-2025-29809 - Windows Kerberos安全功能绕过漏洞
  此版本中有几个安全功能绕过（SFB）漏洞，但此漏洞尤为突出。本地攻击者可能滥用此漏洞泄露Kerberos凭据。您可能需要采取超出修补的操作。如果您依赖基于虚拟化的安全（VBS），则需要阅读此文档，然后使用更新后的策略重新部署。

以下是微软2025年4月发布的CVE完整列表：

*表示此CVE已由第三方发布，现被纳入微软发布。
†表示需要进一步管理操作以完全解决漏洞。

查看其他关键评级补丁，有几个影响Office和Excel。对于所有这些漏洞，预览窗格是一个攻击向量，但微软列出需要用户交互。我不确定如何调和这一点，只能认为用户可能需要手动从预览窗格预览附件。Mac用户运气不佳，因为Microsoft Office LTSC for Mac 2021和2024的更新尚不可用。

有一个关键评级的Hyper-V漏洞，但它依赖于认证和社会工程，因此不太可能在野外被利用。最后一个关键漏洞是针对TCP/IP的，听起来很有趣。它围绕DHCPv6展开。攻击者可以向合法的DHCPv6请求发送特制响应，以在目标系统上执行代码。这通常需要中间人（MitM）类型的攻击。我很想知道特制响应如何导致代码执行。希望向微软报告此漏洞的研究人员现在会发布他们的发现，因为漏洞已修补。

转到其他代码执行漏洞，Office组件中有额外的打开即拥有漏洞，但这些没有预览窗格向量。还有本月的RRAS和电话服务漏洞系列。这些似乎是每次发布的常客。RDP客户端中有一个漏洞，但需要有人连接到恶意服务器。SharePoint中有两个漏洞让我困惑。两者都说利用需要“站点所有者”权限，但一个将其列为低权限，另一个列为高权限。微软的这种不一致令人沮丧。

说到不一致，还有一个RDS网关漏洞与上述两个已记录的漏洞相同。然而，此漏洞被评为重要而非关键。相同的描述。相同的CVSS分数。甚至是相同的研究人员。¯_(ツ)_/¯

本月的发布中有近50个权限提升漏洞，其中大多数要么导致SYSTEM级代码执行，要么在认证用户运行特制代码时获得管理权限（或在Microsoft AutoUpdate for Mac的情况下获得ROOT）。一如既往，有一些值得注意的例外。Azure中的漏洞可能允许将DLL加载到 enclave 中，然后可用于在该 enclave 内执行代码。Visual Studio中的漏洞可能允许攻击者升级到目标用户的级别。数字媒体中的漏洞可能允许以中等完整性运行升级代码。内核中的一个漏洞可能允许升级到安全内核。这是一个较新的功能，如果我没记错的话，这是此类漏洞中的第一个。Kerberos中的漏洞很有趣，因为它允许攻击者从密钥分发中心获得额外权限。然而，涉及相当多的额外步骤，包括拥有MitM。

本月的最后一个EoP在System Center中，但是，没有可用的补丁，因为现有的System Center部署不受影响。本着一致性的精神，微软还指出，只有重新使用现有System Center安装程序文件在其环境中部署新实例的客户才会受此漏洞影响——因此可能某些版本受影响。微软建议用户删除现有的安装程序设置文件（.exe），然后下载其System Center产品的最新版本，而不是提供补丁。您可以在公告中找到链接。

除了已经讨论的一个SFB之外，还有八个额外的安全功能绕过补丁。大多数情况下，您可以从标题中看出正在绕过什么。BitLocker漏洞绕过Bitlocker。Hello漏洞绕过Hello。Mark of the Web（MotW）中的漏洞绕过MotW防御。安全区域映射中的漏洞允许内容被视为处于不同区域。Windows基于虚拟化的安全（VBS）Enclave中的漏洞允许授权攻击者本地绕过安全功能。OneNote和Word中的漏洞允许打开本应被阻止的文件。再次，Mac用户将不得不等待他们的补丁。最后，Defender中的漏洞将允许运行本应被阻止的应用程序。

查看4月发布中的信息泄露漏洞，其中一些仅导致未指定内存内容的信息泄漏。还有一些导致 ever-nebulous “敏感信息”的披露。Azure本地集群中的漏洞可能允许披露设备信息，如令牌、凭据、资源ID、SAS令牌、用户属性和其他敏感信息。Dynamics Business Central中的漏洞可能允许攻击者从内存中恢复明文密码。NTFS中的漏洞允许认证攻击者披露攻击者没有权限列出内容的文件夹下的文件路径信息。ReFS中的漏洞也是如此。Azure中管理中心的漏洞可能允许未经授权的只读访问本地文件系统。4月的最后一个信息泄露漏洞位于Outlook for Android中。如果被利用，可能允许攻击者阅读目标电子邮件。

转到本月获得补丁的14个拒绝服务（DoS）漏洞，许多仅声明攻击者可以拒绝该组件 over a network 的服务。再次，没有表明这是临时的还是永久的DoS。系统是否蓝屏？是否需要重启？如果攻击停止，服务是否恢复？我想我们永远不会知道。

最后，本月有三个欺骗漏洞获得补丁，其中两个被评为低严重性。iOS版Edge中的漏洞可用于欺骗用户点击他们认为安全的内容。一个还需要打开浏览器的多个实例，这听起来不太可能。Windows Hello中的重要评级漏洞仅声明未经授权的攻击者可以在本地执行欺骗，但微软未提供有关何种欺骗的详细信息。

本月没有发布新的公告。

展望未来

2025年的下一个补丁星期二将在5月13日。我将在德国为Pwn2Own Berlin做准备，但我会带着对发布的分析和想法返回。直到那时，保持安全，快乐打补丁，愿所有重启顺利干净！