Microsoft 最新的补丁星期二更新于 6 月 10 日下午茶时间如期发布,管理员们面临的工作负荷比最近轻松了不少,进入夏季的工作量相对较轻——至少比近期要轻松——仅有不到 70 个安全漏洞需要关注,其中只有两个潜在的零日通用漏洞和暴露 (CVE) 在范围内。
本月最紧急的两个修补问题是 CVE-2025-33053,这是 Web Distributed Authoring and Versioning (WEBDAV) 中的远程代码执行 (RCE) 漏洞,以及 CVE-2025-33073,这是 Windows Server Message Block (SMB) 客户端中的权限提升 (EoP) 漏洞。两者的 CVSS 评分都是 8.8。
Microsoft 透露,有证据表明第一个 CVE 已经在野外被利用,尽管概念验证代码尚未公开,而第二个则相反。它将 RCE 漏洞归功于 Check Point Research 的 Alexandra Gofman 和 David Driker,而第二个则归功于 CrowdStrike、Synacktiv、SySS GmbH 和 Google Project Zero 的研究人员。
在这两个漏洞中,CVE-2025-33053 可能是最紧急的修补需求。这是因为在实践中,该问题影响了各种工具,这些工具仍然以传统方式集成了已停用的 Internet Explorer 浏览器,因此 Microsoft 被迫为早已停止支持的平台制作补丁,最远可追溯到 Windows 8 和 Server 2012。
补丁管理专家 Action1 的总裁兼联合创始人 Mike Walters 解释说:"这个漏洞允许攻击者在用户点击恶意 URL 时在受影响的系统上执行远程代码。"
"该漏洞利用 WebDAV 的文件处理功能在当前用户的上下文中运行任意代码。如果用户拥有管理员权限,影响可能很严重。"
Walters 说:"这个漏洞特别令人担忧的是 WebDAV 在企业环境中用于远程文件共享和协作的广泛使用。许多组织为合法的业务需求启用 WebDAV——往往没有充分了解它带来的安全风险。"
他补充说:"潜在影响是广泛的,全球数百万组织面临风险。估计 70% 到 80% 的企业可能面临威胁——特别是那些缺乏严格 URL 过滤或用户钓鱼威胁培训的企业。"
与此同时,Immersive 的网络威胁情报研究员 Ben Hopkins 对第二个潜在零日漏洞 CVE-2023-33073 进行了分析。
Hopkins 解释说:"它被归类为权限提升漏洞,这表明成功的漏洞利用将允许攻击者在受感染的系统上获得更高级别的权限。"
"威胁行为者高度寻求这种性质的漏洞。一旦攻击者通过钓鱼或利用其他漏洞等方法在机器上获得初始立足点,他们就可以利用权限升级漏洞来获得更深层次的控制。"
他继续说:"有了提升的权限,攻击者可能会禁用安全工具、访问和窃取敏感数据、安装持久恶意软件,或在网络中横向移动以感染其他系统。"
"考虑到高严重性评级和 SMB 在 Windows 网络中的关键作用,组织应该优先应用必要的安全补丁来减轻此漏洞带来的风险。"
**墙上挂着 10 个关键漏洞**
Microsoft 6 月补丁星期二更新还包括不少于 10 个关键漏洞——其中四个影响 Microsoft Office,另外分别有一个在 Microsoft SharePoint Server、Power Automate、Windows KDC Proxy Service (KPSSVC)、Windows Netlogon、Windows Remote Desktop Services 和 Windows Schannel 中。其中,八个——包括所有四个 Office 漏洞——都是 RCE 问题,另外两个支持权限升级。
Immersive 威胁研究高级总监 Kev Breen 表示,防护人员应该将 Office 漏洞列为高优先级。
Breen 说:"被列为 use after free、基于堆的缓冲区溢出和类型混淆 RCE,这些漏洞将允许攻击者制作恶意文档,如果发送并被受害者打开,将使攻击者能够远程在受害者的计算机上运行命令。"
"Microsoft 还表示'预览窗格'是一个攻击向量,这意味着仅仅在 Outlook 等程序中查看附件就足以触发漏洞利用。"
Breen 说:"更令人担忧的是,Microsoft 表示在发布时 Microsoft 365 没有可用的更新,客户将通过此通知的修订版本得到通知。"
他补充说:"虽然这个 CVE 目前没有被积极利用,但风险仍然很高,因为已知威胁行为者会快速逆向工程补丁来创建 n-day 漏洞利用,在组织有机会推出补丁之前。"
