微软2025年4月补丁日重点漏洞安全预警
原创 NEURON 2025-04-11 11:10 北京
微软官方发布4月安全更新,请及时安装补丁修复。
CVE-2025-29824:Windows通用日志文件系统驱动程序提升权限漏洞,已被发现在野利用。该漏洞被Storm-2460组织利用,攻击目标包括美国的信息技术和房地产行业、委内瑞拉的金融部门、西班牙一家软件公司以及沙特阿拉伯的零售行业。攻击者在内存中从dllhost.exe进程启动CLFS所利用的漏洞,最终可在winlogon.exe进程中注入payload,获取用户凭证并进行勒索活动。
CVE-2025-29794:Microsoft SharePoint 远程执行代码漏洞。所有经过身份验证的攻击者皆可触发此漏洞,它不需要管理员或其他提升权限。在基于网络的攻击中,已经过身份验证的攻击者可在SharePoint Server中远程写入任意代码和执行代码。
CVE-2025-26663、CVE-2025-26670:Windows 轻量级目录访问协议(LDAP)远程代码执行漏洞,被标记为严重(Critical)漏洞。成功利用此漏洞需要攻击者赢得竞争条件。未经身份验证的攻击者可以按顺序向易受攻击的LDAP服务器发送特制请求。成功利用该漏洞可导致Use-After-Free,从而被用于实现远程代码执行。
CVE-2025-27480、CVE-2025-27482:Windows远程桌面服务远程代码执行漏洞,被标记为严重(Critical)漏洞。攻击者可以通过连接到具有远程桌面网关角色的系统、触发争用条件来创建Use-After-Free场景,然后利用此漏洞执行任意代码,来成功利用此漏洞。成功利用此漏洞需要攻击者赢得竞争条件。
CVE-2025-27727:Windows Installer特权提升漏洞。文件访问前的不当链接解析(CWE-59)缺陷,成功利用此漏洞后可以获得SYSTEM特权。
CVE-2025-29812:DirectX图形内核特权提升漏洞。不可信的指针解引用(CWE-822)缺陷,成功利用此漏洞后可以获得SYSTEM特权。
CVE-2025-29792:Microsoft Office特权提升漏洞。要利用此漏洞,攻击者必须先登录到系统,然后运行一个为利用此漏洞而经特殊设计的应用程序,从而控制受影响的系统。此外,攻击者也可能诱使本地用户打开恶意文件以利用漏洞。成功利用此漏洞的攻击者可以获得SYSTEM特权。
CVE-2025-29793:Microsoft SharePoint远程执行代码漏洞。经过身份验证且具有网站所有者权限的攻击者可利用此漏洞注入任意代码,并在SharePoint Server上下文中执行此代码。攻击者不需要对系统有充分的先验知识,并且可以通过针对易受攻击组件的payload实现可重复的成功。
CVE-2025-29809:Windows Kerberos安全功能绕过漏洞。成功利用此漏洞的攻击者可以绕过Windows Defender Credential Guard功能来泄露Kerberos凭据。
CVE-2025-27472:Windows Web查询标记(MOTW)安全功能绕过漏洞。攻击者可以制作恶意文件来逃避Web标记防御,这可以导致安全功能的完整性及可用性受到有限的损失。为了利用此漏洞,攻击者可以在攻击者控制的服务器上托管文件,然后诱使目标用户下载并打开文件,这可能允许攻击者干扰Web查询标记功能。
CVE-2025-21205、CVE-2025-21221、CVE-2025-21222:Windows电话服务远程代码执行漏洞。此攻击需要客户端连接到恶意服务器,并允许攻击者在客户端上获取代码执行。
CVE-2025-25000:基于Chromium的Microsoft Edge远程执行代码漏洞。攻击者可能拥有一个旨在通过Microsoft Edge利用漏洞的恶意网站,然后诱使用户查看此网站。不过,在所有情况下,攻击者都无法强制用户查看由攻击者控制的内容。相反,攻击者需要诱使用户执行操作打开此网站。
CVE-2025-26669:Windows路由和远程访问服务(RRAS)信息披露漏洞。攻击者可以通过诱使用户向恶意服务器发送请求来利用此漏洞。这可能会导致服务器返回恶意数据,从而导致在用户系统上执行任意代码。成功利用此漏洞的攻击者可能会读取部分堆内存。
CVE-2025-27477、CVE-2025-27481:Windows电话服务远程代码执行漏洞。攻击者可以通过诱使用户向恶意服务器发送请求来利用此漏洞,这可能会导致服务器返回恶意数据,从而导致在用户系统上执行任意代码。
CVE-2025-27740:Active Directory证书服务特权提升漏洞。经过身份验证的用户可以操纵他们拥有或管理的计算机帐户的属性,并从Active Directory证书服务获取允许提升特权到System的证书。成功利用此漏洞的攻击者可以获得域管理员特权。
CVE-2025-27745、CVE-2025-27748、CVE-2025-27749:Microsoft Office远程执行代码漏洞。攻击者通过社会工程诱使受害者从网站下载并打开特制文件,从而导致以预览窗格为途径对其计算机的本地攻击。
CVE-2025-27752:Microsoft Excel远程执行代码漏洞。攻击者通过社会工程诱使受害者从网站下载并打开特制文件,从而导致以预览窗格为途径对其计算机的本地攻击。
CVE-2025-29791:Microsoft Excel远程执行代码漏洞。攻击者必须向用户发送恶意文件并诱使他们将其打开,从而通过预览窗格进行漏洞利用。
CVE-2025-26686:Windows TCP/IP远程执行代码漏洞。未经授权的攻击者必须等待用户启动连接后才能发送DHCPv6请求,然后可以发送包含虚假IPv6地址的DHCPv6回复。成功利用此漏洞需要攻击者赢得竞争条件,在利用之前采取额外的行动来准备目标环境。
CVE-2025-27491:Windows Hyper-V远程执行代码漏洞。具有访客权限的经过授权的攻击者必须向受害者发送恶意站点并诱使他们将其打开。成功利用此漏洞需要攻击者赢得竞争条件。
