2025年5月安全更新回顾
5月13日 | Dustin Childs
本月第二个星期二,也是Pwn2Own Berlin前的最后一个补丁星期二。我知道几位参赛者正焦急等待,希望他们的参赛项目已被修复。在他们忐忑等待之际,不妨暂放手头工作,与我们一同审视最新安全警报的细节。若您更倾向于观看涵盖整个发布的完整视频回顾,可点击此处查看:
Adobe 2025年5月补丁
5月,Adobe发布了13份公告,修复了Adobe Cold Fusion、Lightroom、Dreamweaver、Connect、InDesign、Substance 3D Painter、Photoshop、Animate、Illustrator、Bridge、Dimension、Substance 3D Stager和Substance 3D Modeler中的40个CVE。其中一个CVE通过Trend ZDI项目提交。如需确定优先级,Cold Fusion是首选。它不仅修复了7个严重和1个重要漏洞,Adobe还将其列为优先级1——尽管未列出活跃攻击。Cold Fusion上月也收到了补丁,因此这些CVE可能是该补丁的绕过。其余更新均列为优先级3。Photoshop中有三个严重评级漏洞,可通过打开特制文件触发。Animate的修复纠正了五个漏洞,包括一些导致代码执行的漏洞。Substance 3D Stager的修复包含六个CVE。然而,Substance 3D Modeler的补丁中只有两个CVE,Substance 3D Painter中有一个。尽管是不同产品,将它们分组处理似乎合理。InDesign的补丁修复了三个漏洞,但仅一个评为严重。Bridge的修复中有三个CVE,均可能导致代码执行。Adobe Connect的补丁修复了四个跨站脚本(XSS)漏洞。Adobe的5月发布以Lightroom、Dreamweaver和Illustrator各一个严重评级代码执行漏洞结束。Adobe本月修复的所有漏洞在发布时均未列为公开已知或处于活跃攻击状态。
Microsoft 2025年5月补丁
本月,Microsoft在Windows和Windows组件、Office和Office组件、.NET和Visual Studio、Azure、Nuance PowerScribe、远程桌面网关服务和Microsoft Defender中发布了合理的75个新CVE。其中三个漏洞通过Trend ZDI项目报告。加上记录的额外第三方CVE,总CVE数达到82个。
今日发布的补丁中,12个评为严重,其余评为重要严重性。此修复数量对5月而言并不异常,但确实使Microsoft在发布的CVE数量上超过去年同期。单月修复如此多Office相关漏洞也属罕见。或许这预示着我们今年晚些时候可能看到的攻击。
Microsoft列出五个漏洞在发布时处于活跃攻击状态,另两个为公开已知。让我们仔细查看本月一些更有趣的更新,从当前在野利用的漏洞之一开始:
-
CVE-2025-30397 - 脚本引擎内存损坏漏洞 此漏洞允许远程攻击者在受影响系统上执行其代码,前提是能说服用户点击特制链接。由于在野利用,显然有人点击了该链接。此漏洞有趣之处在于它强制Edge进入Internet Explorer模式,因此IE的幽灵继续困扰我们所有人。Microsoft未提供这些攻击的广泛程度信息,但我会建议快速测试和部署此修复。
-
CVE-2025-32701/CVE-2025-32706 - Windows通用日志文件系统驱动程序权限提升漏洞 此Windows组件历经磨难,前几个月也被其他组织利用。这些漏洞允许权限提升至SYSTEM,通常与代码执行漏洞配对以接管系统。过去,此类漏洞被勒索软件团伙使用,很可能这些也是如此。快速测试和部署。
-
CVE-2025-32709 - Windows WinSock辅助功能驱动程序权限提升漏洞 谈到重演,我们今年2月也看到此组件在野利用。当同一组件反复被利用时,我开始质疑补丁质量,并怀疑它们是否被绕过。再次,我们有一个权限提升漏洞导致SYSTEM权限。
-
CVE-2025-30400 - Microsoft DWM核心库权限提升漏洞 这是本月修复的最后一个在野漏洞,尽管我们在1月看到它被修复,但这是段时间以来我们在此组件中看到的首次利用。这是另一个权限提升漏洞,导致以SYSTEM执行代码。所有EoP漏洞通常用于网络钓鱼和勒索软件,因此不要被其较低严重性迷惑。绝对快速测试和部署这些补丁。
以下是Microsoft为2025年5月发布的CVE完整列表:
| CVE | 标题 | 严重性 | CVSS | 公开 | 利用 | 类型 |
|---|---|---|---|---|---|---|
| CVE-2025-30400 | Microsoft DWM核心库权限提升漏洞 | 重要 | 7.8 | 否 | 是 | EoP |
| CVE-2025-30397 | 脚本引擎内存损坏漏洞 | 重要 | 7.5 | 否 | 是 | RCE |
| CVE-2025-32709 | Windows WinSock辅助功能驱动程序权限提升漏洞 | 重要 | 7.8 | 否 | 是 | EoP |
| CVE-2025-32701 | Windows通用日志文件系统驱动程序权限提升漏洞 | 重要 | 7.8 | 否 | 是 | EoP |
| CVE-2025-32706 | Windows通用日志文件系统驱动程序权限提升漏洞 | 重要 | 7.8 | 否 | 是 | EoP |
| …(后续CVE列表省略以保持简洁)… |
*表示此CVE已由第三方发布,现包含在Microsoft发布中。
†表示需要进一步管理操作以完全解决漏洞。
转向严重评级补丁,两个突出的是Office中可能导致代码执行的漏洞。此类漏洞通常是打开即拥有,但此处预览窗格列为攻击向量。与上月不同,此处无需用户交互,因此仅在预览窗格接收特制文件即可允许代码执行。Azure中有一些看似可怕的漏洞,包括CVSS 10(!),但这些漏洞已被Microsoft缓解,因此无需进一步操作。Dataverse和Power Apps漏洞也是如此。Nuance PowerScribe中有一个严重评级信息泄露漏洞,这是一个用于放射学报告的应用程序,可能允许攻击者获取PII。远程桌面客户端中有几个漏洞,但它们依赖用户连接到恶意RDP服务器。虚拟机总线(VMBus)中的漏洞需要身份验证。
将注意力转向其他代码执行漏洞,我们看到大量Office相关漏洞,仅Excel就有九个。幸运的是,这些仅是打开即拥有类型,预览窗格不是攻击向量。除此之外,Visual Studio中有一个命令注入漏洞。Microsoft指出此漏洞公开已知,但未处于活跃攻击。远程桌面服务中有一个漏洞,初看令人担忧。未经身份验证的用户可通过发送特制数据包获得代码执行。然而,利用需要管理员停止或重启服务。本月修复的最终代码执行漏洞均影响SharePoint。修复了三个反序列化漏洞。SharePoint是Pwn2Own的热门目标。我们将查看这些修复是否淘汰了任何参赛项目。
除已讨论的两个严重评级权限提升(EoP)漏洞外,此版本中还有16个其他漏洞。这些大多仅导致SYSTEM级代码执行或管理权限,如果认证用户运行特制代码。有一些显著例外。Document Intelligence Studio On-Prem中的漏洞CVSS为9.8,允许攻击者下载挂载路径父文件夹的内容。Universal Print Management和Windows CLFS中的漏洞允许文件删除,如我们所见,可随后转为权限提升。最后,Azure File Sync中的漏洞需要一些工作以完全解决。如需采取额外操作,您应已通过Azure服务健康警报收到通知,跟踪ID:4K2C-9_Z。若未收到此警报,您未受影响,无需操作。
本月发布中有两个安全功能绕过(SFB)补丁。第一个解决URLMon中的漏洞,可能允许攻击者绕过Office保护视图。这导致某人以编辑模式而非保护模式打开文件——如果您想通过网络钓鱼传播勒索软件,这是一个方便的功能。另一个SFB在Visual Studio中,可能允许绕过信任域服务。
查看5月发布中的信息泄露漏洞,有一些。然而,所有这些仅导致未指定内存内容的信息泄漏。这在利用系统组件时是有用信息,但 otherwise not quite riveting。5月发布包括两个欺骗漏洞修复。第一个在Defender for Identity中,可由相邻攻击者触及。Microsoft未指定发生何种欺骗,但鉴于组件名称,人们会认为攻击者可欺骗某人身份。Microsoft还指出此漏洞在补丁发布前公开披露。另一个欺骗漏洞在.NET和Visual Studio中。利用需要身份验证,但可能允许标准用户在系统上放置恶意文件,然后等待特权受害者运行调用命令。
本月有七个幸运的拒绝服务(DoS)漏洞获得补丁。然而,Microsoft未提供这些漏洞的可操作信息。相反,他们仅声明攻击者可通过网络(或本地)拒绝该组件的服务。
本月未发布新公告。
展望
2025年下一个补丁星期二将在6月10日。假设我度过接下来几天,我将回来分析并思考该发布。在此之前,保持安全,快乐打补丁,愿所有重启顺利干净!