微软用户警告：权限提升漏洞威胁系统安全

微软在2025年11月的补丁星期二发布了比近期更轻量的更新，仅解决了其产品组合中的63个常见漏洞和暴露（CVE），远低于近期平均超过100个的水平，且仅包含一个零日漏洞。

零日漏洞详情

被追踪为CVE-2025-62215的本月唯一零日漏洞是Windows内核中的权限提升（EoP）漏洞，位于微软操作系统的核心。其CVSS评分仅为7.0，严重性未被评为关键，但已在野外观察到利用，尽管尚未发布公开的概念验证。

Immersive的首席网络安全工程师Ben McCarthy解释，该问题的根本原因源于两个组合弱点：一个是竞争条件，即多个进程尝试同时访问共享数据并更改它；另一个是双重释放内存管理错误。

“具有低权限本地访问权限的攻击者可以运行特制应用程序，反复尝试触发此竞争条件，“他解释说。“目标是让多个线程以非同步方式与共享内核资源交互，混淆内核的内存管理并导致其两次释放相同的内存块。”

“成功的双重释放会损坏内核堆，允许攻击者覆盖内存并劫持系统的执行流程。”

McCarthy补充道：“组织必须优先应用此漏洞的补丁。虽然7.0的CVSS评分可能不总是补丁列表的首位，但主动利用状态使其成为关键优先事项。成功的利用授予攻击者系统权限，允许他们完全绕过端点安全、窃取凭据、安装rootkit并执行其他恶意操作。这是攻击者后期利用剧本中的关键环节。”

实际业务影响

Action1总裁兼联合创始人Mike Walters表示，在现实世界中，通过CVE-2025-62215成功入侵可能产生三个核心业务影响。Walters强调了关键文件服务器受损可能导致的大规模凭据暴露、横向移动和勒索软件部署，以及数据泄漏或其他运营中断导致的监管、财务和声誉损害。

“利用很复杂，“他指出，“但野外看到的功能性利用提高了紧迫性，因为熟练的攻击者可以在针对性活动中可靠地武器化此漏洞。”

其他高危漏洞

11月议程上还有CVE-2025-60724，这是图形设备接口Plus（GDI+）中的远程代码执行（RCE）漏洞，其CVSS评分为9.8。GDI+是一个相对低级别的组件，但负责渲染2D图形、图像和文本，因此为多个Microsoft应用程序以及无数第三方程序提供核心功能。

Rapid7首席软件工程师Adam Barnett表示，这尽可能接近零日，可能会影响几乎所有运行Microsoft软件的资产。

“在最坏情况下，攻击者可以通过将恶意文档上传到易受攻击的Web服务来利用此漏洞，“他说。

“公告没有详细说明代码执行的背景，但如果所有条件都对攻击者有利，奖励可能是通过网络远程代码执行作为系统，无需任何现有立足点。虽然此漏洞几乎肯定不可蠕虫传播，但显然非常严重，对于几乎所有考虑如何处理本月补丁的人来说，肯定是首要任务。”

Action1的Walters补充道：“这是紧急级别的：无需用户交互且攻击复杂性低的网络可到达RCE是最危险的错误之一。服务器受损、多租户系统中的租户影响以及快速大规模利用的潜力使其成为首要任务。

“利用可能需要时间完善，因为攻击者必须构建可靠的分分配器和解释器操作，以绕过CFG、ASLR和DEP等缓解措施。尽管如此，GDI+和图像解析错误有被快速武器化的历史。”

关键评级漏洞

最后，本月安全团队的清单包括四个关键漏洞，由Trend Micro零日计划（ZDI）的Dustin Childs强调。这些是CVE-2025-30398（Nuance PowerScribe 360中的第三方信息泄露漏洞）、CVE-2025-60716（DirectX图形内核中的EoP漏洞）、CVE-2025-62199（Microsoft Office中的RCE漏洞）和CVE-2025-62214（Visual Studio中的另一个RCE漏洞）。