微软2025年1月份于周二补丁日针对161漏洞发布安全补丁

“考虑到整个事情是一个安全边界，微软直到今天才承认任何 Hyper-V NT 内核集成 VSP 漏洞也许令人惊讶，但如果现在出现更多漏洞，也就不足为奇了。”

Windows Hyper-V NT 内核集成 VSP 的利用还导致美国网络安全和基础设施安全局 (CISA)将其添加到其已知利用漏洞 ( KEV ) 目录中，要求联邦机构在 2025 年 2 月 4 日之前应用修复程序。

另外，雷德蒙德警告称，其中五个漏洞是众所周知的——

• CVE-2025-21186、CVE-2025-21366、CVE-2025-21395（CVSS 分数：7.8）- Microsoft Access 远程代码执行漏洞

• CVE-2025-21275（CVSS 评分：7.8）- Windows 应用包安装程序特权提升漏洞

• CVE-2025-21308（CVSS 评分：6.5）- Windows 主题欺骗漏洞

值得注意的是，CVE-2025-21308 可能导致 NTLM 哈希的不当披露，此前 0patch 已将其标记为 CVE-2024-38030 的绕过方法。该漏洞的微补丁已于 2024 年 10 月发布。

另一方面，所有三个 Microsoft Access 问题都归因于人工智能引导的漏洞发现平台Unpatched.ai。Action1还指出，虽然这些漏洞被归类为远程代码执行 (RCE) 漏洞，但利用该漏洞需要攻击者诱使用户打开特制文件。

此次更新还修复了五个严重缺陷 -

• CVE-2025-21294（CVSS 评分：8.1）- Microsoft 摘要式身份验证远程代码执行漏洞

• CVE-2025-21295（CVSS 评分：8.1）- SPNEGO 扩展协商（NEGOEX）安全机制远程代码执行漏洞

• CVE-2025-21298（CVSS 评分：9.8）- Windows 对象链接和嵌入 (OLE) 远程代码执行漏洞

• CVE-2025-21307（CVSS 评分：9.8）- Windows 可靠多播传输驱动程序 (RMCAST) 远程代码执行漏洞

• CVE-2025-21311（CVSS 评分：9.8）- Windows NTLM V1 特权提升漏洞

微软在 CVE-2025-21298 公告中表示：“在电子邮件攻击场景中，攻击者可以通过向受害者发送特制的电子邮件来利用此漏洞。”

“利用此漏洞可能涉及受害者使用受影响的 Microsoft Outlook 软件版本打开特制电子邮件，或者受害者的 Outlook 应用程序显示特制电子邮件的预览。这可能导致攻击者在受害者的机器上执行远程代码。”

为了防范该漏洞，建议用户以纯文本格式阅读电子邮件。它还建议使用 Microsoft Outlook，以降低用户打开来自未知或不受信任来源的 RTF 文件的风险。

Qualys 威胁研究部门漏洞研究经理 Saeed Abbasi 表示：“SPNEGO 扩展协商 (NEGOEX) 安全机制中的 CVE-2025-21295 漏洞允许未经身份验证的攻击者在受影响的系统上远程运行恶意代码，而无需用户交互。”

“尽管攻击复杂性很高（AC：H），但成功利用该漏洞可以通过破坏核心安全机制层完全破坏企业基础设施，从而导致潜在的数据泄露。由于不需要有效凭证，因此造成广泛影响的风险很大，这凸显了立即修补和警惕缓解的必要性。”

至于 CVE-2025-21294，微软表示，不良行为者可以通过连接到需要摘要身份验证的系统、触发竞争条件来创建使用后释放场景，然后利用它来执行任意代码，从而成功利用此漏洞。

Immersive Labs 网络安全工程师 Ben Hopkins 表示：“Microsoft Digest 是负责在服务器收到来自客户端的第一个质询响应时执行初始身份验证的应用程序。服务器通过检查客户端是否尚未经过身份验证来工作。CVE-2025-21294 涉及利用此过程，以便攻击者实现远程代码执行 (RCE)。

在被标记为更有可能被利用的漏洞列表中，有一个影响 Windows BitLocker 的信息泄露漏洞（CVE-2025-21210，CVSS 评分：4.2），如果攻击者能够物理访问受害机器的硬盘，该漏洞可能允许以纯文本形式恢复休眠图像。

Immersive Labs 威胁研究高级主管 Kev Breen 表示：“休眠映像是在笔记本电脑进入睡眠状态时使用的，其中包含设备关机时存储在 RAM 中的内容。”

“这会带来重大的潜在影响，因为 RAM 可能包含敏感数据（例如密码、凭证和 PII），这些数据可能存在于打开的文档或浏览器会话中，并且都可以使用免费工具从休眠文件中恢复。”