微软8月份的补丁星期二更新再次超过100个CVE(通用漏洞披露),其中包括8个可能让威胁行为者在目标系统上实现远程代码执行(RCE)的关键漏洞。
这些关键RCE漏洞出现在多个微软产品和服务中,包括DirectX Graphics Kernel、GDI+、Hyper-V、消息队列、Office和Word等。此外,此次更新还修复了『Windows』 NTLM中的一个权限提升(EoP)漏洞、Hyper-V和Azure Stack Hub中的两个信息泄露漏洞,以及Hyper-V中的一个欺骗漏洞。
本月的更新中没有完整的零日漏洞,但有一个『Windows』 Kerberos中的权限提升漏洞CVE-2025-53779需要特别关注。虽然该漏洞的利用代码已公开,但目前还没有证据表明威胁行为者已经利用了它。
这个漏洞源于路径遍历缺陷,Kerberos在处理『Windows』 Server 2025中相对较新的委托托管服务账户(dMSA)功能时,未能正确验证路径输入。这使得攻击者能够创建不当的委托关系、冒充特权账户、将权限提升至域管理员级别,并可能获得Active Directory域的控制权。
不过,微软表示,攻击者需要已经具备对dMSA某些属性的提升访问权限才能实施此攻击,因此被利用的可能性相对较低。
Action1公司总裁兼联合创始人Mike Walters指出,CVE-2025-53779的危险性在于它可以与其他技术结合使用。具有复杂Active Directory环境的大型组织、依赖dMSA进行服务账户管理的机构,以及银行、政府机构或医院等高风险目标应该格外警惕。
"Kerberos等核心身份验证组件中的路径遍历问题及其潜在的高影响令人担忧,"Walters表示。"对高权限的需求可能会产生虚假的安全感,因为拥有这些权限的账户在分散的IT环境中很常见。一旦被攻陷,它们很快就能导致整个域的沦陷。"
SharePoint漏洞需要重点关注
除了上述漏洞外,防护人员还应该关注SharePoint中的两个漏洞:CVE-2025-53760(权限提升)和CVE-2025-49712(远程代码执行)。
这些漏洞紧随所谓的ToolShell SharePoint漏洞之后出现。ToolShell漏洞非常严重,微软在7月份为此发布了紧急补丁,随后很快就被与中国相关的威胁行为者用于攻击政府目标。
Qualys威胁研究部门高级经理Saeed Abbasi表示,CVE-2025-49712特别值得关注。"这个RCE漏洞需要身份验证,但与已知的身份验证绕过漏洞结合使用时非常危险。攻击者将此漏洞与之前的缺陷链接,可能实现『服务器』完全沦陷和数据泄露。"
Abbasi建议:"优先修补所有SharePoint更新、轮换密钥,并消除『互联网』暴露。拖延修补可能招致监管审查和数据泄露,因为SharePoint的漏洞利用趋势还没有结束。"
Q&A
Q1:CVE-2025-53779漏洞是什么?有什么危险性?
A:CVE-2025-53779是『Windows』 Kerberos中的一个权限提升漏洞,源于路径遍历缺陷。攻击者可利用此漏洞创建不当的委托关系、冒充特权账户、将权限提升至域管理员级别,并可能获得Active Directory域的完全控制权。
Q2:SharePoint的CVE-2025-49712漏洞为什么需要特别关注?
A:CVE-2025-49712是SharePoint中的远程代码执行漏洞,虽然需要身份验证,但与已知的身份验证绕过漏洞结合使用时非常危险。攻击者可能通过漏洞链实现『服务器』完全沦陷和数据泄露,暴露的SharePoint实例容易成为横向移动的立足点。
Q3:哪些组织应该优先关注这次微软补丁更新?
A:具有复杂Active Directory环境的大型组织、依赖委托托管服务账户进行服务账户管理的机构,以及银行、政府机构、医院等高风险目标应该格外重视。这些组织面临的攻击风险更高,一旦被攻陷可能造成严重后果。
