微软8月份的补丁星期二更新再次超过100个CVE(通用漏洞披露),其中包括8个可能让威胁行为者在目标系统上实现远程代码执行(RCE)的关键漏洞。
这些关键RCE漏洞出现在多个微软产品和服务中,包括DirectX Graphics Kernel、GDI+、Hyper-V、消息队列、Office和Word等。此外,此次更新还修复了Windows NTLM中的一个权限提升(EoP)漏洞、Hyper-V和Azure Stack Hub中的两个信息泄露漏洞,以及Hyper-V中的一个欺骗漏洞。
本月的更新中没有完整的零日漏洞,但有一个Windows Kerberos中的权限提升漏洞CVE-2025-53779需要特别关注。虽然该漏洞的利用代码已公开,但目前还没有证据表明威胁行为者已经利用了它。
这个漏洞源于路径遍历缺陷,Kerberos在处理Windows Server 2025中相对较新的委托托管服务账户(dMSA)功能时,未能正确验证路径输入。这使得攻击者能够创建不当的委托关系、冒充特权账户、将权限提升至域管理员级别,并可能获得Active Directory域的控制权。
不过,微软表示,攻击者需要已经具备对dMSA某些属性的提升访问权限才能实施此攻击,因此被利用的可能性相对较低。
Action1公司总裁兼联合创始人Mike Walters指出,CVE-2025-53779的危险性在于它可以与其他技术结合使用。具有复杂Active Directory环境的大型组织、依赖dMSA进行服务账户管理的机构,以及银行、政府机构或医院等高风险目标应该格外警惕。
"Kerberos等核心身份验证组件中的路径遍历问题及其潜在的高影响令人担忧,"Walters表示。"对高权限的需求可能会产生虚假的安全感,因为拥有这些权限的账户在分散的IT环境中很常见。一旦被攻陷,它们很快就能导致整个域的沦陷。"
SharePoint漏洞需要重点关注
除了上述漏洞外,防护人员还应该关注SharePoint中的两个漏洞:CVE-2025-53760(权限提升)和CVE-2025-49712(远程代码执行)。
这些漏洞紧随所谓的ToolShell SharePoint漏洞之后出现。ToolShell漏洞非常严重,微软在7月份为此发布了紧急补丁,随后很快就被与中国相关的威胁行为者用于攻击政府目标。
Qualys威胁研究部门高级经理Saeed Abbasi表示,CVE-2025-49712特别值得关注。"这个RCE漏洞需要身份验证,但与已知的身份验证绕过漏洞结合使用时非常危险。攻击者将此漏洞与之前的缺陷链接,可能实现服务器完全沦陷和数据泄露。"
Abbasi建议:"优先修补所有SharePoint更新、轮换密钥,并消除互联网暴露。拖延修补可能招致监管审查和数据泄露,因为SharePoint的漏洞利用趋势还没有结束。"
Q&A
Q1:CVE-2025-53779漏洞是什么?有什么危险性?
A:CVE-2025-53779是Windows Kerberos中的一个权限提升漏洞,源于路径遍历缺陷。攻击者可利用此漏洞创建不当的委托关系、冒充特权账户、将权限提升至域管理员级别,并可能获得Active Directory域的完全控制权。
Q2:SharePoint的CVE-2025-49712漏洞为什么需要特别关注?
A:CVE-2025-49712是SharePoint中的远程代码执行漏洞,虽然需要身份验证,但与已知的身份验证绕过漏洞结合使用时非常危险。攻击者可能通过漏洞链实现服务器完全沦陷和数据泄露,暴露的SharePoint实例容易成为横向移动的立足点。
Q3:哪些组织应该优先关注这次微软补丁更新?
A:具有复杂Active Directory环境的大型组织、依赖委托托管服务账户进行服务账户管理的机构,以及银行、政府机构、医院等高风险目标应该格外重视。这些组织面临的攻击风险更高,一旦被攻陷可能造成严重后果。
好文章,需要你的鼓励
腾讯混元等机构联合提出PREF-GRPO方法,首次采用成对偏好比较替代传统评分,成功解决AI图像生成中的奖励欺骗问题。同时构建UNIGENBENCH评测基准,包含600测试案例和27个细粒度评价维度,为行业提供更精确的模型评估标准。实验显示新方法在多项指标上显著优于传统方法,特别在复杂任务上提升明显。
亚马逊发布Lens Live AI功能,用户可通过手机摄像头扫描任何物品进行实时购物。该技术利用人工智能识别用户拍摄的物品,并在亚马逊平台上匹配相关商品,提供即时购买选项。这一创新功能将大幅简化购物流程,用户只需"看到即可购买",为在线购物体验带来革命性改变。
蚂蚁集团与西湖大学联合开发的AWORLD开源框架,通过分布式并行训练将AI助手的练习效率提升14.6倍,成功将Qwen3-32B模型在GAIA测试中的准确率从21.59%提升至32.23%,在最困难任务上甚至超越了GPT-4o等商业AI产品,为"从练习中学习"的AI训练理念提供了实用解决方案。