微软发布了其 2025 年 10 月补丁星期二 安全更新,这是一个创纪录的版本,解决了 175 个漏洞。该更新包括两个被积极利用的零日漏洞,并且还标志着对 Windows 10 操作系统的常规安全支持的终止。 175 个常见漏洞和暴露 (CVE) 的数量使该版本成为安全研究人员近年来记录的最大的单一周二补丁更新。单月的发布使该公司在 2025 年修复的独特漏洞总数达到 1,021 个。这一数字超过了去年全年 1,009 个已修补 CVE 的总数。 Tenable 的高级研究工程师 Satnam Narang 表示:“今年还剩两个月,我们已经打破了去年 1,009 个 CVE 的修补数量,本月的发布使我们的 CVE 数量达到 1,021 个。” Narang 指出,此次更新是 Tenable 自 2017 年开始跟踪 Microsoft 补丁版本以来规模最大的一次更新。他还澄清说,此计数不包括在主要更新之前发布的周期外补丁或 Microsoft 不是指定发行者的漏洞。这些漏洞解决了广泛的安全问题,包括远程代码执行 (RCE) 漏洞、特权提升 (EoP) 漏洞、数据盗窃向量、拒绝服务 (DoS) 攻击方法以及绕过众多 Microsoft 产品的现有安全功能。在这些漏洞中,有两个零日漏洞正在被攻击者积极利用。第一个漏洞编号为 CVE-2025-59230,是 Windows 远程访问连接管理器中的一个权限提升漏洞,通用漏洞评分系统 (CVSS) 得分为 7.8。此缺陷允许已经以低权限初始访问系统的攻击者将其身份提升为管理员。 Action1总裁兼联合创始人Mike Walters对该漏洞的机制进行了分析。他评估认为,该缺陷与管理虚拟专用网络(VPN)和其他远程连接的服务如何在未经充分身份验证的情况下处理来自低特权用户的命令有关。沃尔特斯评论说:“利用这个漏洞相对容易,即使是具有中等技术能力的攻击者也可以利用它。”第二个被积极利用的零日漏洞 CVE-2025-24990 也是一个特权提升漏洞,CVSS 评分为 7.8。此缺陷存在于 Windows Agere 调制解调器的第三方驱动程序中。此特定驱动程序本身包含在所有受支持的 Windows 操作系统版本中,使其广泛存在。攻击者可以利用此漏洞获取受影响计算机的系统级权限。即使杰尔调制解调器硬件在攻击时没有被积极使用,该缺陷也可以被利用。作为回应,微软已通过更新从操作系统中删除了该驱动程序。此操作意味着依赖此驱动程序的杰尔调制解调器将停止在已修补的 Windows 系统上运行。在有关此事的咨询中,微软发布了直接建议,指出用户应该“删除对此硬件的任何现有依赖项”。该更新还包含建议安全团队解决的其他高优先级问题。其中一个漏洞是 CVE-2025-59287,这是 Windows Server Update Service (WSUS) 中的一个远程代码执行错误,CVSS 评分为 9.8。 WSUS 是组织用来集中管理软件更新和补丁并将其分发到其网络上的计算机的组件。 Action1 的 Walters 认为这是一个关键问题,并解释说,成功的利用可能会导致严重的后果。他说,这些潜在的结果包括“修补基础设施的完全妥协、向托管系统部署恶意‘更新’、在整个环境中横向移动,以及在更新基础设施中创建持久后门。” Microsoft 已正式将 CVE-2025-59287 归类为攻击者更有可能利用的漏洞。解决的另一个严重缺陷是 CVE-2025-55315,这是 ASP.NET Core 框架中的安全功能绕过,其 CVSS 得分为 9.9。根据微软的评估,该漏洞可能会对系统的机密性、完整性和可用性产生重大影响。成功利用该漏洞将使攻击者能够查看用户凭据、更改目标服务器上的文件内容或导致系统崩溃。 Immersive 首席网络安全工程师 Ben McCarthy 提供了有关利用条件的更多背景信息。麦卡锡在补丁发布的评论中表示:“值得注意的是,匿名攻击者无法利用此漏洞;它要求威胁行为者首先使用有效的低权限用户凭据进行身份验证。”这个 10 月的更新周期也正式标志着 Windows 10 操作系统生命的结束。这意味着微软将不再为操作系统中发现的漏洞提供定期安全补丁,作为其每月补丁星期二计划的一部分。停止支持影响了大量用户群,因为 Windows 10 操作系统目前占据全球桌面 Windows 版本市场约 41% 的份额。对于继续运行 Windows 10 操作系统的组织,需要持续支持的特定路径。 Nightwing 的网络事件响应经理 Nick Carroll 在一份声明中解释说,这些实体需要注册扩展安全更新 (ESU) 计划才能接收最终更新之后的安全补丁。 ESU 计划是一项付费服务,在产品正式支持终止日期后的有限时间内提供安全修复。终止支持不仅限于 Windows 10。其他几款 Microsoft 产品本周也达到了生命周期终止的里程碑。此列表包括 Exchange Server 2016、Exchange Server 2019、Skype for Business 2016、Windows 11 IoT Enterprise Version 22H2 和 Outlook 2016。这些产品也将不再接收定期安全更新。卡罗尔评论了这个生命周期阶段对多种产品的更广泛影响。 “所有这些产品以及更多产品将停止获得安全补丁,”他说,“但这并不意味着威胁行为者将停止为它们制造新的漏洞。”
