Zero Day Initiative — 2025年5月安全更新回顾

2025年5月13日 | Dustin Childs

这是本月的第二个星期二，也是Pwn2Own Berlin之前的最后一个补丁星期二。我知道有几个参赛者正紧张地期待着他们的参赛项目是否已被修复。在他们焦急等待的同时，不妨暂停一下手头的活动，加入我们，一起详细了解最新的安全警报。如果您想观看涵盖整个发布的完整视频回顾，可以点击这里查看：

Adobe 2025年5月补丁

5月，Adobe发布了13个公告，修复了Adobe Cold Fusion、Lightroom、Dreamweaver、Connect、InDesign、Substance 3D Painter、Photoshop、Animate、Illustrator、Bridge、Dimension、Substance 3D Stager和Substance 3D Modeler中的40个CVE。其中一个CVE是通过Trend ZDI项目提交的。如果您需要确定优先级，Cold Fusion是一个很好的起点。它不仅修复了7个严重和1个重要的漏洞，而且Adobe将其列为优先级1——尽管没有列出活跃攻击。Cold Fusion上个月也收到了补丁，因此这些CVE可能是该补丁的绕过。其余更新均列为优先级3。Photoshop中有三个严重评级的漏洞，可通过打开特制文件触发。Animate的修复纠正了五个漏洞，包括一些导致代码执行的漏洞。Substance 3D Stager的修复中有六个CVE。然而，Substance 3D Modeler的补丁中只有两个CVE，Substance 3D Painter中有一个。尽管是不同的产品，但将它们分组处理是合理的。InDesign的补丁修复了三个漏洞，但其中只有一个被评为严重。Bridge的修复中有三个CVE，均可能导致代码执行。Adobe Connect的补丁修复了四个跨站脚本（XSS）漏洞。Adobe 5月的发布以Lightroom、Dreamweaver和Illustrator各一个严重评级的代码执行漏洞结束。本月Adobe修复的所有漏洞在发布时均未列为公开已知或正在被主动攻击。

Microsoft 2025年5月补丁

本月，Microsoft在Windows和Windows组件、Office和Office组件、.NET和Visual Studio、Azure、Nuance PowerScribe、远程桌面网关服务和Microsoft Defender中发布了合理的75个新CVE。其中三个漏洞是通过Trend ZDI项目报告的。加上记录的额外第三方CVE，总CVE数达到82个。

在今天发布的补丁中，12个被评为严重，其余被评为重要。这个修复数量在5月并不罕见，但这确实使Microsoft在发布的CVE数量上超过去年同期的水平。在一个月内看到如此多与Office相关的漏洞被修复也很不寻常。也许这预示着今年晚些时候我们将看到攻击的增加。

Microsoft列出了五个在发布时正在被主动攻击的漏洞，另外两个是公开已知的。让我们仔细看看本月一些更有趣的更新，从当前正在被利用的漏洞之一开始：

• CVE-2025-30397 - 脚本引擎内存损坏漏洞 此漏洞允许远程攻击者在受影响系统上执行其代码，如果他们能说服用户点击特制链接。由于这是在野利用，显然有人点击了该链接。这个漏洞有趣之处在于它强制Edge进入Internet Explorer模式，因此IE的幽灵继续困扰着我们所有人。Microsoft没有提供关于这些攻击广泛程度的信息，但我会建议尽快测试和部署此修复。

• CVE-2025-32701/CVE-2025-32706 - Windows通用日志文件系统驱动程序权限提升漏洞 这个Windows组件已经历了多次攻击，因为它在过去几个月也被其他组织利用。这些漏洞允许权限提升到SYSTEM，并且通常与代码执行漏洞配对以接管系统。过去，这些类型的漏洞被勒索软件团伙使用，因此这些很可能也是如此。尽快测试和部署。

• CVE-2025-32709 - Windows WinSock辅助功能驱动程序权限提升漏洞 说到重演，我们在今年2月也看到了这个组件在野被利用。当我们看到同一个组件一次又一次被利用时，我开始质疑补丁的质量，并想知道它们是否被绕过。同样，这里有一个权限提升漏洞导致SYSTEM权限。

• CVE-2025-30400 - Microsoft DWM核心库权限提升漏洞 这是本月正在修复的最后一个在野漏洞，尽管我们在1月看到它被修复，但这是我们一段时间以来在该组件中看到的第一个漏洞利用。这是另一个权限提升漏洞，导致以SYSTEM身份执行代码。所有EoP漏洞通常用于网络钓鱼和勒索软件，因此不要被它们的较低严重性所迷惑。绝对要尽快测试和部署这些补丁。

以下是Microsoft为2025年5月发布的CVE完整列表：

*表示此CVE已由第三方发布，现在包含在Microsoft发布中。 †表示需要进一步的管理操作才能完全解决漏洞。

转向严重评级的补丁，两个突出的是Office中的漏洞，可能导致代码执行。这些类型的漏洞通常是打开即拥有，但在这种情况下，预览窗格被列为攻击向量。与上个月不同，这里不需要用户交互，因此只需在预览窗格中接收特制文件即可允许代码执行。Azure中有一些看起来可怕的漏洞，包括一个CVSS 10(!)，但这些漏洞已被Microsoft缓解，因此无需采取进一步行动。Dataverse和Power Apps漏洞也是如此。Nuance PowerScribe中有一个严重评级的信息披露漏洞，这是一个用于放射学报告的应用程序，可能允许攻击者获取PII。远程桌面客户端中有几个漏洞，但它们依赖于用户连接到恶意RDP服务器。虚拟机总线（VMBus）中的漏洞需要身份验证。

将注意力转向其他代码执行漏洞，我们看到大量与Office相关的漏洞，仅Excel就有九个。幸运的是，这些只是打开即拥有类型，预览窗格不是攻击向量。除此之外，Visual Studio中有一个命令注入漏洞。Microsoft指出此漏洞是公开已知的，但未被主动攻击。远程桌面服务中有一个漏洞，乍一看很可怕。未经身份验证的用户可以通过发送特制数据包获得代码执行。然而，利用需要管理员停止或重新启动服务。本月修复的最终代码执行漏洞都影响SharePoint。修复了三个反序列化漏洞。SharePoint是Pwn2Own中的热门目标。我们将看看这些修复是否淘汰了任何参赛项目。

除了已经讨论过的两个严重评级的权限提升（EoP）漏洞外，此版本中还有16个其他漏洞。这些漏洞大多数要么导致SYSTEM级代码执行，要么在认证用户运行特制代码时获得管理权限。有一些显著的例外。Document Intelligence Studio On-Prem中的漏洞CVSS为9.8，允许攻击者下载挂载路径的父文件夹内容。Universal Print Management和Windows CLFS中的漏洞允许文件删除，正如我们所看到的，这可能随后转变为权限提升。最后，Azure File Sync中的漏洞需要一些工作才能完全解决。如果您需要采取额外操作，您应该通过Azure服务健康警报收到通知，跟踪ID：4K2C-9_Z。如果您没有收到此警报，则您不受影响，无需采取行动。

本月的发布中有两个安全功能绕过（SFB）补丁。第一个修复了URLMon中的一个漏洞，可能允许攻击者绕过Office保护视图。这导致某人以编辑模式而不是保护模式打开文件——如果您想通过网络钓鱼传播勒索软件，这是一个方便的功能。另一个SFB在Visual Studio中，可能允许绕过受信任域服务。

查看5月发布中的信息披露漏洞，有几个。然而，所有这些都仅仅导致未指定内存内容的信息泄漏。这在利用系统上的组件时是有用的信息，但 otherwise not quite riveting。5月发布包括两个欺骗漏洞的修复。第一个在Defender for Identity中，可能被相邻攻击者触及。Microsoft没有指定发生何种类型的欺骗，但鉴于组件的名称，人们会认为攻击者可以欺骗某人的身份。Microsoft还指出此漏洞在补丁发布之前已公开披露。另一个欺骗漏洞在.NET和Visual Studio中。利用需要身份验证，但可能允许标准用户在系统上放置恶意文件，然后等待特权受害者运行调用命令。

本月有七个幸运的拒绝服务（DoS）漏洞获得补丁。然而，Microsoft没有提供关于这些漏洞的可操作信息。相反，他们简单地说明攻击者可以通过网络（或本地）拒绝该组件的服务。

本月没有发布新的公告。

展望未来

2025年的下一个补丁星期二将在6月10日。假设我 survive the next few days，我将回来分享我对该发布的分析和想法。直到那时，保持安全，快乐打补丁，愿所有重启顺利干净！