微软8月补丁修复8个关键远程代码执行漏洞

微软8月份的补丁星期二更新再次超过100个CVE（通用漏洞披露），其中包括8个可能让威胁行为者在目标系统上实现远程代码执行(RCE)的关键漏洞。

这些关键RCE漏洞出现在多个微软产品和服务中，包括DirectX Graphics Kernel、GDI+、Hyper-V、消息队列、Office和Word等。此外，此次更新还修复了Windows NTLM中的一个权限提升(EoP)漏洞、Hyper-V和Azure Stack Hub中的两个信息泄露漏洞，以及Hyper-V中的一个欺骗漏洞。

本月的更新中没有完整的零日漏洞，但有一个Windows Kerberos中的权限提升漏洞CVE-2025-53779需要特别关注。虽然该漏洞的利用代码已公开，但目前还没有证据表明威胁行为者已经利用了它。

这个漏洞源于路径遍历缺陷，Kerberos在处理Windows Server 2025中相对较新的委托托管服务账户(dMSA)功能时，未能正确验证路径输入。这使得攻击者能够创建不当的委托关系、冒充特权账户、将权限提升至域管理员级别，并可能获得Active Directory域的控制权。

不过，微软表示，攻击者需要已经具备对dMSA某些属性的提升访问权限才能实施此攻击，因此被利用的可能性相对较低。

Action1公司总裁兼联合创始人Mike Walters指出，CVE-2025-53779的危险性在于它可以与其他技术结合使用。具有复杂Active Directory环境的大型组织、依赖dMSA进行服务账户管理的机构，以及银行、政府机构或医院等高风险目标应该格外警惕。

"Kerberos等核心身份验证组件中的路径遍历问题及其潜在的高影响令人担忧，"Walters表示。"对高权限的需求可能会产生虚假的安全感，因为拥有这些权限的账户在分散的IT环境中很常见。一旦被攻陷，它们很快就能导致整个域的沦陷。"

SharePoint漏洞需要重点关注

除了上述漏洞外，防护人员还应该关注SharePoint中的两个漏洞：CVE-2025-53760（权限提升）和CVE-2025-49712（远程代码执行）。

这些漏洞紧随所谓的ToolShell SharePoint漏洞之后出现。ToolShell漏洞非常严重，微软在7月份为此发布了紧急补丁，随后很快就被与中国相关的威胁行为者用于攻击政府目标。

Qualys威胁研究部门高级经理Saeed Abbasi表示，CVE-2025-49712特别值得关注。"这个RCE漏洞需要身份验证，但与已知的身份验证绕过漏洞结合使用时非常危险。攻击者将此漏洞与之前的缺陷链接，可能实现服务器完全沦陷和数据泄露。"

Abbasi建议："优先修补所有SharePoint更新、轮换密钥，并消除互联网暴露。拖延修补可能招致监管审查和数据泄露，因为SharePoint的漏洞利用趋势还没有结束。"

Q&A

Q1：CVE-2025-53779漏洞是什么？有什么危险性？

A：CVE-2025-53779是Windows Kerberos中的一个权限提升漏洞，源于路径遍历缺陷。攻击者可利用此漏洞创建不当的委托关系、冒充特权账户、将权限提升至域管理员级别，并可能获得Active Directory域的完全控制权。

Q2：SharePoint的CVE-2025-49712漏洞为什么需要特别关注？

A：CVE-2025-49712是SharePoint中的远程代码执行漏洞，虽然需要身份验证，但与已知的身份验证绕过漏洞结合使用时非常危险。攻击者可能通过漏洞链实现服务器完全沦陷和数据泄露，暴露的SharePoint实例容易成为横向移动的立足点。

Q3：哪些组织应该优先关注这次微软补丁更新？

A：具有复杂Active Directory环境的大型组织、依赖委托托管服务账户进行服务账户管理的机构，以及银行、政府机构、医院等高风险目标应该格外重视。这些组织面临的攻击风险更高，一旦被攻陷可能造成严重后果。