2025年9月安全更新回顾
空气中已有一丝凉意——至少在北美是如此——随之而来的是Adobe和微软的最新安全补丁。暂离您既定的活动安排,加入我们一起来详细了解他们最新的安全警报。
Adobe 2025年9月补丁
9月份,Adobe发布了九份公告,修复了Adobe Acrobat Reader、After Effects、Premiere Pro、Commerce、Substance 3D Viewer、Experience Manager、Dreamweaver、Adobe 3D Substance Modeler和ColdFusion中的22个独特CVE。其中,ColdFusion更新是唯一的优先级1补丁,尽管Adobe指出未检测到利用行为。Commerce的补丁修复了一个被评为关键级别的单一错误,优先级为2。同样,未发现利用行为。同样值得注意的是Acrobat的更新,修复了一个关键和一个中等评级的错误。
After Effects的补丁修复了三个重要评级的错误。Premiere Pro中存在一个可能导致代码执行的单一错误。Substance 3D Viewer的修复解决了三个独立的代码执行错误。Substance 3D Modeler的补丁情况相同。Experience Manager的修复是本月的最大补丁,包含七个修复。然而,其中只有一个被评为关键。Dreamweaver中的错误修正了一个跨站请求伪造(CSRF)错误。
Adobe本月修复的所有错误在发布时均未被列为公开已知或受到主动攻击。除了ColdFusion和Commerce的补丁外,所有更新均被列为部署优先级3。
微软2025年9月补丁
本月,微软在Windows和Windows组件、Office和Office组件、Microsoft Edge(基于Chromium)、Azure、Hyper-V、SQL Server、Defender防火墙服务和Xbox(没错——就是Xbox!)中发布了80个新的CVE。在今天发布的补丁中,八个被评为严重,其余在严重性上被评为重要。这使得微软在数量上比去年同期多出了约100个CVE。我们将在今年剩余时间里观察这种补丁水平是否保持高位。
微软列出一个错误在发布时是公开已知的,但没有注明任何错误受到主动攻击。让我们仔细看看本月一些更有趣的更新,从一个被评为CVSS 9.8的错误开始:
-
CVE-2025-55232 - Microsoft高性能计算(HPC)Pack远程代码执行漏洞 这是本月CVSS评分最高(9.8)的严重错误,名副其实。远程未经身份验证的攻击者可以在无需用户交互的情况下在受影响系统上获得代码执行,这使得该漏洞在安装了HPC Pack的系统之间可能具有蠕虫传播能力。微软建议确保HPC Pack集群仅部署在安全飞地中。他们还建议阻止TCP端口5999。如果您使用HPC Pack集群,请务必将此补丁置于修补列表的首位。
-
CVE-2025-54910 - Microsoft Office远程代码执行漏洞 这是连续第八个月至少有一个Office组件允许通过预览窗格执行代码。如果微软能够整合其中一些修复,而不是月复一月地拖延,那就太好了,但我怀疑这不会发生。我几乎要建议在微软解决此问题期间暂时禁用预览窗格。
-
CVE-2025-54918 - Windows NTLM权限提升漏洞 此权限提升允许经过身份验证的攻击者通过网络在受影响系统上提升至SYSTEM权限。虽然不是范围更改,但从标准Windows用户提升到SYSTEM很方便。微软还指出漏洞利用复杂性较低,因此预计威胁行为者会瞄准此漏洞。务必快速测试并部署此更新。
以下是微软2025年9月发布的CVE完整列表:
| CVE | 标题 | 严重性 | CVSS | 公开 | 已利用 | 类型 |
|---|---|---|---|---|---|---|
| CVE-2025-55234 † | Windows SMB权限提升漏洞 | 重要 | 8.8 | 是 | 否 | EoP |
| CVE-2025-55226 | 图形内核远程代码执行漏洞 | 严重 | 6.7 | 否 | 否 | RCE |
| …(表格内容继续)… |
*表示此CVE已由第三方发布,现在包含在微软发布中。 †表示需要进一步的管理操作才能完全解决漏洞。
查看剩余的严重补丁,图形组件和图形内核中有几个,但这些需要经过身份验证的用户,并且可以被视为权限提升以及代码执行错误。Windows Imaging Component中还有一个严重评级的信息泄露,但考虑到这只泄露随机内存部分,不清楚为什么这被评为严重。
转到其他代码执行错误,Office组件(主要是Excel)中有相当多的打开即拥有漏洞。还有每月的RRAS错误。SMB Client中有一个看起来很可怕的错误,但它需要身份验证。NTFS错误也是如此。SharePoint中的错误需要网站所有者权限,但任何能够在SharePoint上创建网站的用户都拥有这些权限。最终的代码执行错误位于Windows图形组件中,需要用户交互。总而言之,对于代码执行错误来说,这是一个相对轻松的月份。
权限提升(EoP)错误则不能这么说,它们几乎占本月发布的一半。幸运的是,如果经过身份验证的用户运行特制代码,大多数这些错误会导致SYSTEM级代码执行或管理权限。Defender防火墙服务中有六个错误允许攻击者从中等完整性执行代码提升到本地服务。Azure Arc中的错误很有趣,因为它可能允许威胁行为者在受影响服务器上添加VM扩展。Azure Connected Machine Agent中的错误仅导致SYSTEM,但您需要手动将系统更新到最新版本的Azure Connected Machine Agent。Microsoft AutoUpdate(MAU)for Mac中的漏洞攻击场景不太可能发生,但可能导致受影响系统上的root权限。虚拟硬盘中的错误可能导致系统崩溃。Windows UI XAML Phone DatePickerFlyout中的错误也是如此,但这也可以用于AppContainer逃逸。其中一个内核错误也可以用于AppContainer逃逸。MultiPoint Services中的错误允许攻击者删除文件,正如我们所看到的,这可以用于权限提升。Xbox中的错误也允许定向文件删除,但尚不清楚是否可以将此转化为EoP。对于SMB中的错误,我认为这是一个欺骗错误,因为您获得了受损用户的权限。有额外的步骤可用于加强中继攻击的防护,如果您还没有这样做,您也应该这样做。与上个月类似,SQL Server的补丁需要额外处理以确保安装了正确的版本。PowerShell中的错误非常有趣,(再次)有些人可能认为它是欺骗攻击。该错误允许攻击者劫持主机上的管理员用户和客户VM之间的PowerShell Direct会话。这允许经过身份验证的用户模拟管理员主机用户并采取任何操作来控制客户机端操作。不错。
9月发布包含十几个信息泄露更新,正如预期的那样,大多数这些错误仅导致由未指定内存内容或内存地址组成的信息泄露。在利用系统上的组件时,这些信息很有用,但除此之外并不十分令人兴奋。除了已经提到的严重评级错误外,唯一的例外是SQL Server中的错误,它可能泄露难以捉摸的"敏感信息"。¯\(ツ)/¯
本月的发布中有两个安全功能绕过(SFB)错误,两者都影响MapUrlToZone组件。顾名思义,这些错误允许将URL映射到不正确的安全区域。
关于Office Plus中的欺骗错误,没有太多可用信息。如果您不熟悉它(我以前也不熟悉),Office Plus是微软中国团队于2022年推出的产品。它主要通过网页版向用户提供Office模板,例如PowerPoint模板。基于此,我猜测攻击者可能欺骗合法用户以获取对Office Plus资源的访问权限。
此发布中只有三个拒绝服务(DoS)错误的补丁。与往常一样,微软没有提供关于这些错误可操作的信息。相反,他们只是声明攻击者可能通过网络拒绝该组件的服务。本月没有发布新的公告。
展望未来
2025年的下一个补丁星期二将在10月14日,届时我将带着我对该发布的分析和想法回来。直到那时,保持安全,快乐打补丁,愿您所有的重启都顺利干净!