微软修补了被利用的SharePoint零日漏洞中的161个漏洞

执行摘要

微软2025年4月的补丁星期二发布解决了161个新披露的通用漏洞和暴露（CVEs），标志着公司历史上最大的月度安全更新之一。最严重的发现是Microsoft SharePoint Server中一个被积极利用的零日漏洞，跟踪为CVE-2025-27088，它允许远程代码执行。另一个在Windows DNS Server中的严重远程代码执行漏洞，CVE-2025-27080，也因为其高潜力的蠕虫式利用而需要立即关注。尽管微软没有将SharePoint的利用归因于特定的威胁行为者，但在野外的滥用提高了管理员应用这些补丁的紧迫性。

技术分析

安全更新包解决了微软产品范围内的漏洞，包括Windows、Office、Azure、SQL Server和开发人员工具。两个最严重的漏洞在性质和攻击面上是不同的。

CVE-2025-27088是Microsoft SharePoint Server中的一个权限提升漏洞。根据微软的咨询，成功利用这个漏洞的攻击者可以在SharePoint Server进程的上下文中执行任意代码。在补丁发布之前，这个漏洞已经被确认在有限的、有针对性的攻击中被利用。为了防止进一步滥用，同时组织部署修复，具体的攻击向量的技术细节尚未公开。

CVE-2025-27080是Windows DNS Server中的一个关键远程代码执行漏洞。CVSS得分为9.8，被认为是可蠕虫化的，这意味着成功的利用可以使恶意软件在易受攻击的服务器之间传播，而无需用户交互。未经身份验证的攻击者可以向Windows DNS服务器发送一个特别制作的恶意数据包，以触发漏洞并获得对系统的完全控制。这个漏洞对企业网络和互联网基础设施构成了重大风险。

在总共161个CVEs中，5个被评为严重，154个被评为重要，2个被评为中等严重性。

入侵指标

目前没有识别出任何入侵指标。微软的咨询没有公开分享与CVE-2025-27088的利用相关的具体取证工件。组织应监控来自SharePoint服务器的异常进程创建或网络流量，以及DNS查询模式异常或DNS服务器上的意外服务崩溃。

战术、技术与程序

在补丁可用之前对CVE-2025-27088的利用表明了一种利用权限提升（T1068）的战术。攻击者可能将这个漏洞与初始访问技术（如网络钓鱼或凭证盗窃）结合起来，以破坏一个低权限账户，然后利用SharePoint漏洞实现更高级别的执行。CVE-2025-27080的存在提供了一个清晰的技术，用于远程服务的利用（T1210），攻击者可以直接针对网络服务，而不需要任何用户交互或认证。

威胁行为者背景

微软没有公开将SharePoint零日漏洞（CVE-2025-27088）的利用归因于已知的威胁组织或国家。公司将攻击描述为“有限和有针对性的”，这种表述通常与针对特定组织的间谍活动或出于财务动机的活动相关。缺乏公开归因表明调查正在进行中，或者微软出于运营安全原因保留细节。

缓解措施与建议

管理员必须优先应用2025年4月补丁星期二的更新。根据活跃的利用和潜在影响，建议按照以下顺序进行：

1. 立即打补丁：对所有Microsoft SharePoint Server实例应用CVE-2025-27088的安全更新。对所有Windows DNS服务器应用CVE-2025-27080的更新。
2. **网络分割：**确保SharePoint服务器和DNS服务器被放置在有严格入站和出站防火墙规则的分割网络区域，以限制横向移动和外部攻击面。
3. **最小权限原则：**审查和加强与SharePoint应用程序相关的服务账户和用户权限，以限制潜在权限提升的影响。
4. **监控：**在关键服务器上实施增强的日志记录和监控进程创建和网络连接，随着安全供应商提供已知利用模式的警报。
5. **全面更新：**在环境中部署所有微软产品2025年4月的全套补丁，因为本月修补的其他许多漏洞可能在后期攻击中被利用。