🔧 **漏洞数量与级别：** 微软2025年5月安全更新共修复了78个漏洞，其中高危漏洞66个，严重漏洞11个，低危漏洞1个。赛博昆仑实验室协助修复了4个安全漏洞，凸显了此次更新的重要性。

⚠️ **在野利用的风险：** CVE-2025-30400 (Windows DWM Core Library权限提升)、CVE-2025-32701/CVE-2025-32706 (Windows CLFS驱动权限提升)、CVE-2025-32709 (Windows AFD驱动权限提升)以及CVE-2025-30397 (Jscript9脚本引擎内存破坏) 这四个漏洞已被检测到在野利用，可能导致本地权限提升至SYSTEM级别或远程代码执行，对用户系统构成直接威胁。

💻 **关键组件漏洞：** 除了在野利用的漏洞，还存在多个严重漏洞，如远程桌面客户端/网关的远程代码执行漏洞（CVE-2025-29966/CVE-2025-29967）、Microsoft Office的远程代码执行漏洞（CVE-2025-30377/CVE-2025-30386）以及Microsoft Virtual Machine Bus (VMBus)的远程代码执行漏洞（CVE-2025-29833）。这些漏洞可能被用于网络钓鱼、勒索软件攻击或完全控制系统。

🛡️ **修复建议与防护：** 赛博昆仑强烈建议用户尽快测试并部署微软官方发布的安全补丁，以修复已知的安全漏洞。作为微软MAPP合作伙伴，赛博昆仑能够提供及时的威胁情报和定制化的检测规则及热补丁服务，帮助客户快速有效地进行漏洞检测和修复。

2025-05-14 10:24 广东

漏洞描述

    近日，赛博昆仑CERT监测到微软发布了2025年5月安全更新，涉及以下应用：

Windows,Azure,Microsoft Office,Microsoft Visual Studio,Microsoft Power Apps,Microsoft Edge,Build Tools for Visual Studio 2022,Microsoft Defender for Identity,Remote Desktop client for Windows Desktop,Microsoft PC Manager,Microsoft 365 Apps,Office Online Server,Microsoft SharePoint,Microsoft .NET Framework,Microsoft Dataverse,Visual Studio Code,Microsoft Defender for Endpoint,CBL Mariner。

    总共修复了78个漏洞，高危漏洞66个，严重漏洞11个，低危漏洞1个。本月昆仑实验室研究员共协助微软修复了4个安全漏洞。

CVE-2025-30394 bee13oy with Cyber Kunlun Lab,ʌ!ɔ⊥ojv with Kunlun Lab

CVE-2025-30381 wh1tc with Kunlun Lab

CVE-2025-26677 ʌ!ɔ⊥ojv with Kunlun Lab,k0shl with Kunlun Lab

CVE-2025-29831 ʌ!ɔ⊥ojv with Kunlun Lab

重点关注漏洞

经过赛博昆仑CERT的分析，这里列出部分值得关注的漏洞，详细信息如下：

CVE-2025-30400 Microsoft DWM Core Library 权限提升漏洞

在野 在 Windows DWM Core Library 中发现了一个释放后重用 (Use After Free) 漏洞。经过身份验证的攻击者可以利用此漏洞在本地提升权限，成功利用后可获得SYSTEM权限。此类权限提升漏洞常被用于网络钓鱼和勒索软件攻击。该漏洞已检测到在野利用, 建议用户尽快测试并部署此更新。

CVE-2025-32701/CVE-2025-32706 Windows CLFS 驱动权限提升漏洞

在野 在 Windows CLFS驱动中发现了一个输入验证不当漏洞。经过身份验证的攻击者可以利用此漏洞在本地提升权限至SYSTEM级别。此类漏洞通常与代码执行漏洞结合使用以完全控制系统，并可能被勒索软件团伙利用。该漏洞已检测到在野利用, 建议用户尽快测试并部署此更新。

CVE-2025-32709 Windows AFD驱动权限提升漏洞

在野 在 Windows AFD驱动中发现了一个释放后重用漏洞。经过身份验证的攻击者可以利用此漏洞在本地提升权限至SYSTEM级别。该组件此前也曾被发现在野利用。该漏洞已检测到在野利用, 建议用户尽快测试并部署此更新。

CVE-2025-30397 Jscript9脚本引擎内存破坏漏洞

在野 在 Jscript9 中发现了一个类型混淆漏洞。未经身份验证的攻击者可以通过诱使用户点击特制链接来利用此漏洞，在目标系统上执行代码。成功利用此漏洞需要攻击者预先准备目标环境，使其使用 Edge 浏览器的 Internet Explorer 模式。该漏洞已检测到在野利用, 建议用户尽快测试并部署此更新。

CVE-2025-29966 远程桌面客户端远程代码执行漏洞

严重 在远程桌面客户端中发现了一个堆缓冲区溢出漏洞。未经身份验证的攻击者可以通过网络执行代码。如果攻击者控制了一个远程桌面服务器，当受害者使用易受攻击的远程桌面客户端连接到该恶意服务器时，攻击者可以在客户端计算机上触发远程代码执行。该漏洞尚未检测到在野利用，利用可能性较低，建议用户尽快测试并部署此更新。

CVE-2025-29967 远程桌面网关远程代码执行漏洞

严重 在远程桌面网关中发现了一个堆缓冲区溢出漏洞。未经身份验证的攻击者可以通过网络执行代码。该漏洞尚未检测到在野利用，利用可能性较低，建议用户尽快测试并部署此更新。

CVE-2025-30377 Microsoft Office 远程代码执行漏洞

严重 在 Microsoft Office 中发现了一个释放后重用漏洞。未经身份验证的攻击者可以利用此漏洞在本地执行代码。攻击者可以通过诱使用户打开特制文件来利用此漏洞，预览窗格也是此漏洞的一个攻击途径。该漏洞尚未检测到在野利用，利用可能性较低，建议用户尽快测试并部署此更新。

CVE-2025-30386 Microsoft Office 远程代码执行漏洞

严重 在 Microsoft Office 中发现了一个释放后重用漏洞。未经身份验证的攻击者可以利用此漏洞在本地执行代码。攻击者可能通过发送恶意电子邮件（在某些情况下，用户无需打开或点击链接，即可触发漏洞）或诱使用户打开特制文件来利用此漏洞。预览窗格也是此漏洞的一个攻击途径。该漏洞尚未检测到在野利用，但利用可能性较高，建议用户尽快测试并部署此更新。

CVE-2025-29833 Microsoft Virtual Machine Bus (VMBus) 远程代码执行漏洞

严重 在 Windows Virtual Machine Bus (VMBus) 中发现了一个TOCTOU 条件竞争漏洞。经过身份验证的攻击者（可能在虚拟机guest环境）可以通过发送特制输入来利用此漏洞，在目标系统（可能指host环境）上执行代码。成功利用需要攻击者准备目标环境。该漏洞尚未检测到在野利用，利用可能性较低，建议用户尽快测试并部署此更新。

修复建议

目前，官方已发布安全补丁，建议受影响的用户尽快升级至安全版本。

May 2025 Security Updates

https://msrc.microsoft.com/update-guide/releaseNote/2025-May

技术业务咨询

     赛博昆仑作为微软主动保护计划（Microsoft Active Protections Program，MAPP）的合作伙伴，可以获得微软最新的高级网络威胁信息和相关防御手段、技术的分享，在微软每月安全更新公开发布之前更早地获取漏洞信息，并对赛博昆仑-洞见平台及时进行更新，为客户提供更迅速有效的安全防护。

同时，赛博昆仑支持对用户提供轻量级的检测规则或热补方式，可提供定制化服务适配多种产品及规则，帮助用户进行漏洞检测和修复。

联系邮箱：cert@cyberkl.com

公众号：赛博昆仑CERT

参考链接

    https://msrc.microsoft.com/update-guide/releaseNote/2025-May

时间线

    2025年5月14日，微软官方发布安全通告    2025年5月14日，赛博昆仑CERT发布安全风险通告

阅读原文

跳转微信打开