微软在 2025 年初发布了一系列新补丁,修复了其软件产品组合中的161 个安全漏洞,其中包括三个在攻击中被积极利用的零日漏洞。
在 161 个漏洞中,11 个被评为严重,149 个被评为重要。另一个漏洞是与 Windows 安全启动绕过 (CVE-2024-7344) 相关的非 Microsoft CVE,尚未被评为严重。根据Zero Day Initiative 的说法,此次更新标志着自至少 2017 年以来,单月解决的 CVE 数量最多。
自2024 年 12 月补丁星期二更新发布以来,Windows 制造商还修复了其基于 Chromium 的 Edge 浏览器中的七个漏洞。
微软发布的补丁中,最突出的是 Windows Hyper-V NT 内核集成 VSP 中的三个漏洞(CVE-2025-21333、CVE-2025-21334和CVE-2025-21335,CVSS 评分:7.8),该公司表示这些漏洞已被广泛利用 -
该公司在针对这三个漏洞的公告中表示:“成功利用此漏洞的攻击者可以获得系统权限。”
按照惯例,目前尚不清楚这些缺陷是如何被利用的,以及在何种情况下被利用。微软也没有提及利用这些缺陷的威胁者的身份或攻击的规模。
但鉴于它们是权限提升漏洞,它们很可能被用作后入侵活动的一部分,攻击者已经通过其他方式获得了目标系统的访问权限,Tenable 的高级研究工程师 Satnam Narang 指出。
Rapid7 的首席软件工程师 Adam Barnett 向 The Hacker News 表示:“虚拟化服务提供商 (VSP) 位于 Hyper-V 实例的根分区中,并通过虚拟机总线 (VMBus) 为子分区提供合成设备支持:它是 Hyper-V 允许子分区自我欺骗,使其认为它是一台真实计算机的基础。”
“考虑到整个事情是一个安全边界,微软直到今天才承认任何 Hyper-V NT 内核集成 VSP 漏洞也许令人惊讶,但如果现在出现更多漏洞,也就不足为奇了。”
Windows Hyper-V NT 内核集成 VSP 的利用还导致美国网络安全和基础设施安全局 (CISA)将其添加到其已知利用漏洞 ( KEV ) 目录中,要求联邦机构在 2025 年 2 月 4 日之前应用修复程序。
另外,雷德蒙德警告称,其中五个漏洞是众所周知的——
CVE-2025-21186、CVE-2025-21366、CVE-2025-21395(CVSS 分数:7.8)- Microsoft Access 远程代码执行漏洞
CVE-2025-21275(CVSS 评分:7.8)- Windows 应用包安装程序特权提升漏洞
CVE-2025-21308(CVSS 评分:6.5)- Windows 主题欺骗漏洞
值得注意的是,CVE-2025-21308 可能导致 NTLM 哈希的不当披露,此前 0patch 已将其标记为 CVE-2024-38030 的绕过方法。该漏洞的微补丁已于 2024 年 10 月发布。
另一方面,所有三个 Microsoft Access 问题都归因于人工智能引导的漏洞发现平台Unpatched.ai。Action1还指出,虽然这些漏洞被归类为远程代码执行 (RCE) 漏洞,但利用该漏洞需要攻击者诱使用户打开特制文件。
此次更新还修复了五个严重缺陷 -
CVE-2025-21294(CVSS 评分:8.1)- Microsoft 摘要式身份验证远程代码执行漏洞
CVE-2025-21295(CVSS 评分:8.1)- SPNEGO 扩展协商(NEGOEX)安全机制远程代码执行漏洞
CVE-2025-21298(CVSS 评分:9.8)- Windows 对象链接和嵌入 (OLE) 远程代码执行漏洞
CVE-2025-21307(CVSS 评分:9.8)- Windows 可靠多播传输驱动程序 (RMCAST) 远程代码执行漏洞
CVE-2025-21311(CVSS 评分:9.8)- Windows NTLM V1 特权提升漏洞
微软在 CVE-2025-21298 公告中表示:“在电子邮件攻击场景中,攻击者可以通过向受害者发送特制的电子邮件来利用此漏洞。”
“利用此漏洞可能涉及受害者使用受影响的 Microsoft Outlook 软件版本打开特制电子邮件,或者受害者的 Outlook 应用程序显示特制电子邮件的预览。这可能导致攻击者在受害者的机器上执行远程代码。”
为了防范该漏洞,建议用户以纯文本格式阅读电子邮件。它还建议使用 Microsoft Outlook,以降低用户打开来自未知或不受信任来源的 RTF 文件的风险。
Qualys 威胁研究部门漏洞研究经理 Saeed Abbasi 表示:“SPNEGO 扩展协商 (NEGOEX) 安全机制中的 CVE-2025-21295 漏洞允许未经身份验证的攻击者在受影响的系统上远程运行恶意代码,而无需用户交互。”
“尽管攻击复杂性很高(AC:H),但成功利用该漏洞可以通过破坏核心安全机制层完全破坏企业基础设施,从而导致潜在的数据泄露。由于不需要有效凭证,因此造成广泛影响的风险很大,这凸显了立即修补和警惕缓解的必要性。”
至于 CVE-2025-21294,微软表示,不良行为者可以通过连接到需要摘要身份验证的系统、触发竞争条件来创建使用后释放场景,然后利用它来执行任意代码,从而成功利用此漏洞。
Immersive Labs 网络安全工程师 Ben Hopkins 表示:“Microsoft Digest 是负责在服务器收到来自客户端的第一个质询响应时执行初始身份验证的应用程序。服务器通过检查客户端是否尚未经过身份验证来工作。CVE-2025-21294 涉及利用此过程,以便攻击者实现远程代码执行 (RCE)。
在被标记为更有可能被利用的漏洞列表中,有一个影响 Windows BitLocker 的信息泄露漏洞(CVE-2025-21210,CVSS 评分:4.2),如果攻击者能够物理访问受害机器的硬盘,该漏洞可能允许以纯文本形式恢复休眠图像。
Immersive Labs 威胁研究高级主管 Kev Breen 表示:“休眠映像是在笔记本电脑进入睡眠状态时使用的,其中包含设备关机时存储在 RAM 中的内容。”
“这会带来重大的潜在影响,因为 RAM 可能包含敏感数据(例如密码、凭证和 PII),这些数据可能存在于打开的文档或浏览器会话中,并且都可以使用免费工具从休眠文件中恢复。”
微软补丁日系列回顾
