Microsoft (微軟)本周發布九月份Patch Tuesday安全更新,共修補81個安全漏洞,其中包括兩個已公開揭露但尚未被利用的零時差漏洞。此次更新涵蓋9個重大(Critical)漏洞與72個重要(Important)漏洞,幸運的是沒有任何漏洞遭到零日攻擊利用。
兩個零時差漏洞值得關注
CVE-2025-55234:Windows SMB特權提升漏洞
此漏洞影響Windows SMB伺服器,攻擊者可透過中繼攻擊(Relay Attack)手法進行特權提升。微軟表示:「根據設定配置,SMB伺服器可能容易受到中繼攻擊影響。成功利用此漏洞的攻擊者可執行中繼攻擊,使用戶面臨特權提升攻擊威脅。」
微軟建議管理員啟用SMB伺服器簽章(SMB Server Signing)與延伸驗證保護(Extended Protection for Authentication)等強化措施,但這些功能可能與舊版設備產生相容性問題。為此,微軟提供稽核功能協助管理員評估潛在相容性問題。
CVE-2024-21907:Newtonsoft.Json阻斷服務漏洞
此漏洞影響SQL Server中使用的第三方元件Newtonsoft.Json,攻擊者可透過傳送特製JSON資料觸發StackOverflow例外狀況,導致阻斷服務攻擊。該漏洞最初於2024年1月公開揭露,但可能早在2018年就已被發現。
其他重要漏洞修復
高危險性漏洞包括:
- CVE-2025-54914:Azure網路服務特權提升漏洞,CVSS評分達滿分10.0,但因屬雲端服務漏洞,無需客戶採取行動
- CVE-2025-55232:Microsoft高效能運算(HPC) Pack遠端程式碼執行漏洞,CVSS評分9.8,可能允許未經認證的攻擊者在無使用者互動下執行程式碼
- CVE-2025-54918:Windows NTLM特權提升漏洞,CVSS評分8.8,可能讓攻擊者獲得SYSTEM等級權限
BitLocker持續受到關注
此次更新還修復了兩個BitLocker特權提升漏洞(CVE-2025-54911與CVE-2025-54912),這已是微軟今年第六次修補BitLocker相關安全問題。這些漏洞可能讓具有實體存取權限的攻擊者繞過BitLocker保護機制。
微軟安全研究團隊建議啟用TPM+PIN預開機驗證機制,並啟用REVISE緩解措施以防範BitLocker降級攻擊。
漏洞類型分析
本月修補的81個漏洞中:
- 特權提升漏洞:41個(佔最大宗)
- 遠端程式碼執行:22個
- 資訊洩露:16個
- 阻斷服務:3個
- 安全功能繞過:2個
- 偽造攻擊:1個
Tenable資安公司資深研究工程師Satnam Narang指出:「這是微軟今年第三次修補的特權提升漏洞數量超過遠端程式碼執行漏洞,本月近半數(47.5%)的漏洞都是特權提升弱點。」
Immersive威脅研究資深總監Kev Breen解釋了特權提升漏洞的重要性:「雖然本地特權提升漏洞通常不會獲得高CVSS評分,但這並不會降低它們的重要性。一旦威脅行為者透過遠端程式碼執行漏洞、竊取的憑證或網釣攻擊獲得初始程式碼執行權限後,他們會嘗試在主機本地以及可能的整個網域中提升權限。擁有系統或管理員級別權限後,威脅行為者就能停用安全工具和日誌記錄,並部署額外的惡意軟體或工具以在網路中橫向移動。」
這種趨勢顯示現代攻擊鏈的演變:攻擊者越來越重視在取得初始存取權後的橫向移動與權限提升,這使得特權提升漏洞成為攻擊鏈中的關鍵環節。
修補建議
微軟強烈建議企業與個人用戶儘速安裝此次安全更新,特別是:
- 立即修補零時差漏洞,尤其是CVE-2025-55234 SMB漏洞
- 評估BitLocker設定,考慮啟用額外安全措施
- 檢視SMB伺服器配置,啟用相關強化功能
- 針對SQL Server環境,確認Newtonsoft.Json元件已更新
企業用戶建議先在測試環境中驗證更新的相容性,再部署至正式環境。