微软以2025年首批补丁开场，共修复了其软件组合中的161个安全漏洞，其中包括三个已在攻击中被积极利用的零日漏洞。

　　在这161个漏洞中，有11个被评定为严重（Critical），149个被评定为重要（Important）。另一个漏洞是一个与非微软相关的CVE，涉及Windows安全启动绕过（CVE-2024-7344），但尚未被评定严重程度。据Zero Day Initiative称，此次更新是自2017年以来单月修复的CVE数量最多的一次。

　　除了这些补丁外，自2024年12月“补丁星期二”更新发布以来，微软还在其基于Chromium的Edge浏览器中修复了七个漏洞。

　　微软发布的补丁中，引人注目的是Windows Hyper-V NT内核集成VSP（Virtual Service Provider）中的三个漏洞（CVE-2025-21333、CVE-2025-21334和CVE-2025-21335，CVSS评分：7.8）。微软表示，这些漏洞已在野外被积极利用。

　　“成功利用此漏洞的攻击者可以获得SYSTEM权限，”微软在这三个漏洞的公告中说道。

　　按照惯例，目前尚不清楚这些漏洞是如何被利用的，以及它们被利用的具体场景。微软也没有提及利用这些漏洞的威胁行为者的身份或攻击的规模。

　　但Tenable的高级研究工程师Satnam Narang指出，鉴于这些是权限提升漏洞，它们很可能被用作攻击者在已通过其他方式获得目标系统访问权限后的后续活动的一部分。

　　Rapid7的首席软件工程师Adam Barnett向The Hacker News表示：“虚拟化服务提供商（VSP）位于Hyper-V实例的根分区中，并通过虚拟机总线（VMBus）为子分区提供合成设备支持：它是Hyper-V允许子分区欺骗自己认为它是真实计算机的基础。”

　　网络安全方面：

　　“考虑到整个系统都是一个安全边界，也许令人惊讶的是，直到今天微软才承认存在Hyper-V NT内核集成VSP漏洞，但如果现在出现更多此类漏洞，也绝不会让人感到震惊。”

　　Windows Hyper-V NT内核集成VSP漏洞被利用的情况，也促使美国网络安全和基础设施安全局（CISA）将它们列入其“已知被利用漏洞”（KEV）目录，并要求联邦机构在2025年2月4日之前应用补丁。

　　此外，微软还警告称，其中五个漏洞是公开已知的：

　　CVE-2025-21186、CVE-2025-21366、CVE-2025-21395（CVSS评分：7.8）——Microsoft Access远程代码执行漏洞CVE-2025-21275（CVSS评分：7.8）——Windows应用程序包安装程序权限提升漏洞CVE-2025-21308（CVSS评分：6.5）——Windows主题欺骗漏洞

　　值得注意的是，CVE-2025-21308（可能导致不当披露NTLM哈希）之前已被0patch标记为CVE-2024-38030的绕过漏洞。针对该漏洞的微补丁已于2024年10月发布。

　　另一方面，所有三个Microsoft Access漏洞都被归功于AI驱动的漏洞发现平台Unpatched.ai。Action1还指出，尽管这些漏洞被归类为远程代码执行（RCE）漏洞，但利用它们需要攻击者诱使用户打开特制的文件。

　　此次更新还显著地修复了五个严重漏洞：

　　CVE-2025-21294（CVSS评分：8.1）——Microsoft Digest身份验证远程代码执行漏洞CVE-2025-21295（CVSS评分：8.1）——SPNEGO扩展协商（NEGOEX）安全机制远程代码执行漏洞CVE-2025-21298（CVSS评分：9.8）——Windows对象链接与嵌入（OLE）远程代码执行漏洞CVE-2025-21307（CVSS评分：9.8）——Windows可靠多播传输驱动程序（RMCAST）远程代码执行漏洞CVE-2025-21311（CVSS评分：9.8）——Windows NTLM V1权限提升漏洞

　　“在电子邮件攻击场景中，攻击者可以通过向受害者发送特制的电子邮件来利用此漏洞，”微软在关于CVE-2025-21298的公告中说道。

　　“利用此漏洞可能涉及受害者使用受影响的Microsoft Outlook软件版本打开特制的电子邮件，或者受害者的Outlook应用程序显示特制电子邮件的预览。这可能导致攻击者在受害者的机器上执行远程代码。”

　　为了防范此漏洞，建议用户以纯文本格式阅读电子邮件消息。微软还建议使用Microsoft Outlook来降低用户打开来自未知或不受信任来源的RTF文件的风险。

　　Qualys Threat Research Unit的漏洞研究经理Saeed Abbasi表示：“SPNEGO扩展协商（NEGOEX）安全机制中的CVE-2025-21295漏洞允许未经身份验证的攻击者在没有用户交互的情况下在受影响系统上远程运行恶意代码。”

　　网络安全方面：

　　“尽管攻击复杂度较高（AC:H），但成功利用此漏洞可以通过破坏核心安全机制层来完全破坏企业基础设施，从而导致潜在的数据泄露。由于不需要有效的凭据，因此广泛影响的风险很大，这凸显了立即应用补丁和积极缓解措施的必要性。”

　　至于CVE-2025-21294，微软表示，恶意行为者可以通过连接到需要摘要身份验证的系统，触发竞态条件以创建用后释放（use-after-free）场景，然后利用它来执行任意代码，从而成功利用此漏洞。

　　Immersive Labs的网络安全工程师Ben Hopkins表示：“Microsoft Digest是服务器在接收到来自客户端的第一个挑战响应时执行初始身份验证的应用程序。服务器通过检查客户端是否已进行身份验证来工作。CVE-2025-21294涉及利用此过程，使攻击者能够实现远程代码执行（RCE）。”

　　在被标记为更可能被利用的漏洞列表中，有一个影响Windows BitLocker的信息泄露漏洞（CVE-2025-21210，CVSS评分：4.2）。假设攻击者能够获得对受害者机器硬盘的物理访问权限，该漏洞可能会允许恢复以明文形式存在的休眠映像。

　　Immersive Labs的威胁研究高级总监Kev Breen表示：“当笔记本电脑进入休眠状态时，会使用休眠映像，其中包含了设备断电时RAM中存储的内容。”

　　“这具有重大的潜在影响，因为RAM可能包含敏感数据（如密码、凭据和个人身份信息），这些数据可能存在于打开的文档或浏览器会话中，并且都可以使用免费工具从休眠文件中恢复。”

　　来自其他供应商的软件补丁#

　　除了微软之外，过去几周还有其他多家供应商发布了安全更新，以修复多个漏洞，包括：

　　Adobe

　　亚马逊网络服务 (Amazon Web Services)

　　Arm

　　华硕 (ASUS)

　　博通 (Broadcom)（包括VMware）

　　思科 (Cisco)

　　D-Link

　　戴尔 (Dell)

　　Drupal

　　F5

　　飞塔 (Fortinet)

　　Fortra

　　GitHub

　　GitLab

　　谷歌Android和Pixel设备

　　谷歌Chrome浏览器

　　谷歌云平台 (Google Cloud)

　　惠普 (HP)

　　惠普企业 (HP Enterprise)（包括Aruba网络）

　　华为 (Huawei)

　　IBM

　　Imagination Technologies

　　Ivanti

　　瞻博网络 (Juniper Networks)

　　联想 (Lenovo)

　　Linux发行版：Amazon Linux、Debian、Oracle Linux、Red Hat、Rocky Linux、SUSE和Ubuntu

　　MediaTek

　　莫克沙 (Moxa)

　　Mozilla Firefox浏览器、Firefox ESR版及Thunderbird邮件客户端

　　NVIDIA

　　帕洛阿尔托网络 (Palo Alto Networks)

　　Phoenix Technologies

　　高通 (Qualcomm)

　　罗克韦尔自动化 (Rockwell Automation)

　　Rsync

　　Salesforce

　　三星 (Samsung)

　　SAP

　　施耐德电气 (Schneider Electric)

　　西门子 (Siemens)

　　SimpleHelp

　　SonicWall

　　Splunk

　　Veeam

　　Zoho ManageEngine

　　Zoom视频会议软件

　　奇侠 (Zyxel)

　　这些供应商发布的安全更新旨在提升各自产品的安全性，保护用户免受潜在的网络攻击威胁。