2025年4月补丁星期二来了,微软已经修复了120多个漏洞,包括受到积极攻击的零日(CVE-2025-29824)。
CVE-2025-29824
CVE-2025-29824是Windows通用日志文件系统(CLFS)中一个用户后释放的漏洞,攻击者可以并且正在利用它,以提升他们在以前被入侵的Windows计算机上的系统权限。
“CLFS对Patch Tuesday并不陌生——自2022年以来,微软已经修补了32个CLFS漏洞,平均每年有10个,其中6个在野外被利用。Tenable的高级员工研究工程师Satnam Narang告诉Help Net Security,最后一个在野外利用的CLFS零日漏洞是在2024年12月修补的(CVE-2024-49138),并指出,多年来,CLFS中的特权提升漏洞在勒索软件运营商中变得特别流行。
我们不知道涉及利用此漏洞的攻击有多普遍,我们只知道微软威胁情报中心已经报告了该缺陷。尽管如此,这足以激励我们优先考虑这个补丁。
CVE-2025-29824影响各种Windows Server和Windows版本,并且为大多数版本提供了安全更新。微软表示:“适用于x64系统的Windows 10和适用于32位系统的Windows 10的安全更新不会立即可用,”并指出更新将尽快发布。
Immersive Labs的首席网络安全工程师Ben McCarthy说:“在没有安全更新的情况下,组织应该采取积极措施来降低风险。”
“建议安全团队使用EDR/XDR工具密切监控CLFS驱动程序。这包括观察与clfs.sys交互的进程,被它生成,或在与其他驱动程序或内存空间通信时表现出异常行为。”
其他需要注意的漏洞
微软修复了导致特权提升(EOP)和远程代码执行(RCE)的一大缺陷。
关键的RCE缺陷包括CVE-2025-26663和CVE-2025-26670,两者都是Windows轻量级目录访问协议(LDAP)中未经身份验证的用户后释放的弱点,都需要攻击者赢得竞赛条件来利用它们,并且都可以通过按顺序发送到易受攻击的LDAP服务器的特殊请求触发。
“由于所有东西都可以托管LDAP服务,所以有很多目标。趋势科技零日倡议的威胁意识主管Dustin Childs说:“由于不涉及用户交互,这些错误是可蠕虫的。”
“LDAP真的不应该通过你的网络边界,但不要仅仅依赖它。快速测试和部署这些更新——除非您运行的是Windows 10。这些补丁还没有可用。”
同样,Windows远程桌面服务(RDP)中的两个RCE漏洞——CVE-2025-27480和CVE-2025-27482可以在没有任何用户交互的情况下被利用,但(未经授权的)攻击者必须首先连接到具有远程桌面网关角色的系统,并触发竞争条件,以创建可利用的后使用场景。
除了实施提供的安全更新外,用户最好要么使RDP无法从互联网访问,要么只能从受信任的IP地址访问。
这次“更有可能”被利用的错误中,还有:
- CVE-2025-27472,一个允许攻击者规避Windows Web标记(MotW)绕过防御的缺陷
- CVE-2025-27727,Windows Installer中的EOP缺陷
- CVE-2025-29809,一个漏洞,允许授权攻击者绕过Windows Defender凭据保护,泄露Kerberos(身份验证)凭据。
这些都没有在适用于基于x64系统的Windows 10和适用于32位系统的Windows 10中进行修补,但这些安全更新正在工作中,并将尽快发布。
顺便说一句:微软计划终止对驱动程序更新同步到Windows Server Update Services(WSUS)服务器的支持,但改变了主意。
目前,该公司周一表示:“WSUS将继续从Windows Update服务同步驱动程序更新,并从Microsoft Update目录中导入它们,”但再次呼吁组织“开始探索使用替代支持技术来提高安全性和生产力的方法。”
消息来源:helpnetsecurity, 编译:安全114;
本文由 anquan114.com 翻译整理,封面来源于网络;
转载请注明“转自 anquan114.com”并附上原文
暂无评论内容