香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
資安人科技網
https://www.informationsecurity.com.tw/seminar/2025_Twister5/
https://www.informationsecurity.com.tw/seminar/2025_Zerotrust/

新聞

您現在位置 : 首頁  > 新聞

Microsoft 推出 2025年6月 Patch Tuesday 每月例行更新修補包

2025 / 06 / 12
編輯部
Microsoft 推出 2025年6月 Patch Tuesday 每月例行更新修補包
微軟發布 2025 年 6 月安全性更新,修補了其軟體產品中共 66 個漏洞,其中包含 1 個已遭惡意利用的零時差漏洞。此次更新修補了 10 個「重大(Critical)」等級漏洞、56 個重要(Important)等級漏洞。各類漏洞分類統計如下:
  • 26 個遠端程式碼執行漏洞
  • 17 個資訊洩露漏洞
  • 14 個權限提升漏洞
  • 9 個其他類型漏洞
此外,微軟也修補了其 Chromium 架構 Edge 瀏覽器中發現的 13 個漏洞,這些漏洞都是在上個月的例行性修補更新之後才被發現的。

遭駭客積極利用的零時差漏洞

本次更新中遭駭客積極利用的零時差漏洞為:CVE-2025-33053-WebDAV 遠端程式碼執行漏洞(CVSS風險評分:8.8)。WebDAV(Web Distributed Authoring and Versioning)是 Windows 中用於遠端檔案存取和協作的 HTTP 擴充功能。此漏洞可讓攻擊者透過誘騙使用者點擊特製 URL 來執行任意程式碼並提升權限。

微軟指出,Stealth Falcon(又稱 FruityArmor)駭客組織正在積極利用 CVE-2025-33053 漏洞。該組織過去曾多次利用 Windows 零時差漏洞進行攻擊,並在 2023 年針對卡達和沙烏地阿拉伯的實體發動間諜活動。根據 Check Point 研究報告,該組織在針對土耳其一家國防公司的攻擊中,採用了精密的攻擊鏈:
  • 透過釣魚郵件發送包含 .url 檔案的壓縮附件
  • 利用 CVE-2025-33053 漏洞執行惡意程式碼
  • 部署名為「Horus Agent」的客製化植入程式
  • 建立持續性後門進行資料竊取

值得注意的是,CVE-2025-33053 是 WebDAV 標準中首個被公開披露的零時差漏洞。雖然 WebDAV 預設並未啟用,但在企業環境中廣泛用於文件管理系統、協作平台和傳統檔案共享工具,使其成為重要的攻擊目標。

公開揭露但未遭利用的零時差漏洞

本次更新也修補了一個公開揭露但尚未遭利用的零時差漏洞:CVE-2025-33073-Windows SMB 客戶端權限提升漏洞(CVSS風險評分:8.8)。此漏洞實際上是一個經過身份驗證的遠端命令執行漏洞,可在不強制執行 SMB 簽章的機器上以 SYSTEM 權限執行任意命令。

攻擊路徑需要受害者連接到攻擊者控制的惡意 SMB 伺服器,最終透過反射式 Kerberos 中繼攻擊實現權限提升。該漏洞由 CrowdStrike、Synacktiv、SySS GmbH、RedTeam Pentesting 和 Google Project Zero 等多家資安公司聯合發現並回報。

資安專家指出,本次更新中其他值得關注的漏洞包括:
  • Power Automate 權限提升漏洞(CVE-2025-47966,CVSS風險評分:9.8)-此為本次更新中評分最高的漏洞,可讓攻擊者透過網路提升權限。不過微軟表示無需客戶採取行動即可緩解此漏洞。
  • Windows KDC Proxy 服務遠端程式碼執行漏洞(CVE-2025-33071,CVSS風險評分:8.1)-這是一個未驗證的 RCE 漏洞,攻擊者需要利用密碼學缺陷並在競爭條件中獲勝才能成功利用。
  • Common Log File System 驅動程式權限提升漏洞(CVE-2025-32713,CVSS風險評分:7.8)-CLFS 驅動程式在過去幾個月中一直是威脅行為者和資安研究人員關注的焦點,因為它經常被用於多起勒索軟體攻擊中。
  • UEFI Secure Boot 繞過漏洞(CVE-2025-3052,CVSS風險評分:6.7)-此漏洞存在於使用微軟第三方 UEFI 憑證簽署的 UEFI 應用程式中,允許攻擊者繞過 UEFI Secure Boot 安全機制。

修補程式資訊與建議

美國網路安全暨基礎設施安全局(CISA)已將 CVE-2025-33053 加入已知被利用漏洞(KEV)目錄,要求聯邦民用行政部門機構必須在 2025 年 7 月 1 日前完成修補。

Action1 總裁 Mike Walters 表示:「CVE-2025-33053 特別令人擔憂的是 WebDAV 在企業環境中的廣泛使用,許多組織啟用 WebDAV 進行遠端檔案共享和協作,但往往沒有充分了解其帶來的安全風險。」

Nightwing 資安事件回應經理 Nick Carroll 特別提醒:「雖然部分漏洞不屬於關鍵等級,但我們經常在實際攻擊中看到威脅行為者利用這些看似次要的漏洞。組織不應僅關注關鍵漏洞,而應全面評估所有安全更新的重要性。」

本次修補程式資訊包含:
  • Windows 11:KB5060842(適用於 22H2 和 23H2)
  • indows 10:KB5060533 和 KB5060999
  • Windows Server:依據使用版本提供對應更新
資安專家強烈建議各組織:
  • 優先部署 WebDAV 相關修補程式,特別是使用 WebDAV 服務的系統
  • 檢視 Office 檔案處理政策,特別是經常接收外部文件的環境
  • 在正式環境部署前進行相容性測試,特別是使用舊版或客製化軟體的環境
  • 監控網路流量,注意與 WebDAV 或其他已修補服務相關的可疑活動
此次六月份的 Patch Tuesday 更新數量相對較少,但零時差漏洞的存在使其具有重要意義。隨著威脅行為者持續快速利用新發現的漏洞,及時修補仍是對抗網路攻擊最有效的防護措施之一。
Patch Tuesday0-dayWebDAV

最新活動

2025.06.18
2025.06.25
2025.06.17
2025.06.19
2025.06.24
2025.06.25
2025.06.27
2025.06.27
2025.07.09
看更多活動

大家都在看

OneDrive檔案選擇器漏洞 使第三方應用程式可完整存取使用者雲端硬碟
OneDrive檔案選擇器漏洞 使第三方應用程式可完整存取使用者雲端硬碟
瀏覽器中間人攻擊如何在數秒內 竊取使用者連線憑證
瀏覽器中間人攻擊如何在數秒內 竊取使用者連線憑證
AI 重新定義雲端資安:從實際案例看主動防禦新戰略
AI 重新定義雲端資安:從實際案例看主動防禦新戰略
3.5萬套太陽能發電系統暴露於網路成駭客攻擊目標
3.5萬套太陽能發電系統暴露於網路成駭客攻擊目標
新殭屍網路「AyySSHush」攻陷逾9000台華碩路由器 植入持續性SSH後門
新殭屍網路「AyySSHush」攻陷逾9000台華碩路由器 植入持續性SSH後門
資安人科技網


文章推薦

Mirai 殭屍網路鎖定 Wazuh 開源資安平台漏洞發動攻擊
Mirai 殭屍網路鎖定 Wazuh 開源資安平台漏洞發動攻擊
大規模暴力破解攻擊鎖定 Apache Tomcat 管理介面
大規模暴力破解攻擊鎖定 Apache Tomcat 管理介面
AI 系統的資安不可視為一般軟體處理!「機器學習安全維運」將成主流
AI 系統的資安不可視為一般軟體處理!「機器學習安全維運」將成主流
香港商法蘭克福展覽有限公司台灣分公司 | 110 台北市信義區市民大道六段288號8F | 886-2-8729-1099
Copyright © 2025 Messe Frankfurt (HK) Limited, Taiwan Branch. All right reserved.