Microsoft 最新的補丁星期二更新于 6 月 10 日下午茶時間如期發(fā)布,管理員們面臨的工作負荷比最近輕松了不少��,進入夏季的工作量相對較輕——至少比近期要輕松——僅有不到 70 個安全漏洞需要關(guān)注�,其中只有兩個潛在的零日通用漏洞和暴露 (CVE) 在范圍內(nèi)。
本月最緊急的兩個修補問題是 CVE-2025-33053����,這是 Web Distributed Authoring and Versioning (WEBDAV) 中的遠程代碼執(zhí)行 (RCE) 漏洞,以及 CVE-2025-33073���,這是 Windows Server Message Block (SMB) 客戶端中的權(quán)限提升 (EoP) 漏洞���。兩者的 CVSS 評分都是 8.8。
Microsoft 透露�,有證據(jù)表明第一個 CVE 已經(jīng)在野外被利用,盡管概念驗證代碼尚未公開��,而第二個則相反�。它將 RCE 漏洞歸功于 Check Point Research 的 Alexandra Gofman 和 David Driker,而第二個則歸功于 CrowdStrike��、Synacktiv、SySS GmbH 和 Google Project Zero 的研究人員�����。
在這兩個漏洞中�����,CVE-2025-33053 可能是最緊急的修補需求���。這是因為在實踐中��,該問題影響了各種工具��,這些工具仍然以傳統(tǒng)方式集成了已停用的 Internet Explorer 瀏覽器���,因此 Microsoft 被迫為早已停止支持的平臺制作補丁,最遠可追溯到 Windows 8 和 Server 2012�����。
補丁管理專家 Action1 的總裁兼聯(lián)合創(chuàng)始人 Mike Walters 解釋說:"這個漏洞允許攻擊者在用戶點擊惡意 URL 時在受影響的系統(tǒng)上執(zhí)行遠程代碼�。"
"該漏洞利用 WebDAV 的文件處理功能在當(dāng)前用戶的上下文中運行任意代碼�����。如果用戶擁有管理員權(quán)限,影響可能很嚴重�����。"
Walters 說:"這個漏洞特別令人擔(dān)憂的是 WebDAV 在企業(yè)環(huán)境中用于遠程文件共享和協(xié)作的廣泛使用��。許多組織為合法的業(yè)務(wù)需求啟用 WebDAV——往往沒有充分了解它帶來的安全風(fēng)險�。"
他補充說:"潛在影響是廣泛的,全球數(shù)百萬組織面臨風(fēng)險�。估計 70% 到 80% 的企業(yè)可能面臨威脅——特別是那些缺乏嚴格 URL 過濾或用戶釣魚威脅培訓(xùn)的企業(yè)。"
與此同時����,Immersive 的網(wǎng)絡(luò)威脅情報研究員 Ben Hopkins 對第二個潛在零日漏洞 CVE-2023-33073 進行了分析。
Hopkins 解釋說:"它被歸類為權(quán)限提升漏洞���,這表明成功的漏洞利用將允許攻擊者在受感染的系統(tǒng)上獲得更高級別的權(quán)限���。"
"威脅行為者高度尋求這種性質(zhì)的漏洞。一旦攻擊者通過釣魚或利用其他漏洞等方法在機器上獲得初始立足點����,他們就可以利用權(quán)限升級漏洞來獲得更深層次的控制����。"
他繼續(xù)說:"有了提升的權(quán)限��,攻擊者可能會禁用安全工具����、訪問和竊取敏感數(shù)據(jù)、安裝持久惡意軟件���,或在網(wǎng)絡(luò)中橫向移動以感染其他系統(tǒng)����。"
"考慮到高嚴重性評級和 SMB 在 Windows 網(wǎng)絡(luò)中的關(guān)鍵作用���,組織應(yīng)該優(yōu)先應(yīng)用必要的安全補丁來減輕此漏洞帶來的風(fēng)險���。"
**墻上掛著 10 個關(guān)鍵漏洞**
Microsoft 6 月補丁星期二更新還包括不少于 10 個關(guān)鍵漏洞——其中四個影響 Microsoft Office,另外分別有一個在 Microsoft SharePoint Server�、Power Automate、Windows KDC Proxy Service (KPSSVC)�����、Windows Netlogon、Windows Remote Desktop Services 和 Windows Schannel 中�。其中����,八個——包括所有四個 Office 漏洞——都是 RCE 問題,另外兩個支持權(quán)限升級��。
Immersive 威脅研究高級總監(jiān) Kev Breen 表示��,防護人員應(yīng)該將 Office 漏洞列為高優(yōu)先級�����。
Breen 說:"被列為 use after free����、基于堆的緩沖區(qū)溢出和類型混淆 RCE,這些漏洞將允許攻擊者制作惡意文檔����,如果發(fā)送并被受害者打開,將使攻擊者能夠遠程在受害者的計算機上運行命令��。"
"Microsoft 還表示'預(yù)覽窗格'是一個攻擊向量�����,這意味著僅僅在 Outlook 等程序中查看附件就足以觸發(fā)漏洞利用。"
Breen 說:"更令人擔(dān)憂的是�����,Microsoft 表示在發(fā)布時 Microsoft 365 沒有可用的更新��,客戶將通過此通知的修訂版本得到通知����。"
他補充說:"雖然這個 CVE 目前沒有被積極利用,但風(fēng)險仍然很高�,因為已知威脅行為者會快速逆向工程補丁來創(chuàng)建 n-day 漏洞利用,在組織有機會推出補丁之前���。"
