Microsoft는 2025 년 화요일에 5 번째 Patce에 대한 총 70 개 이상의 주소 수준의 총 취약점 및 영향 (CVE)이 80 세 이상인 세 번째 문제가 고려 된 총 5 개의 새로운 제로 일 취약점을 발행했습니다.
수치 적으로, 이번 달의 제로 일은 다음과 같습니다.
- CVE-2025-30400, Microsoft DWM 코어 라이브러리에서 특권 취약성 (EOP)의 상승;
- CVE-2025-30397, 스크립트 엔진에서 원격 코드 (RCE)의 취약성으로 이어지는 메모리 손상;
- CVE-2025-32701, 일반 저널 시스템 Windows (CLFS)의 드라이버의 EOP 취약성;
- CVE-2025-32706, CLFS에서 EOP의 두 번째 단점;
- CVE-2025-32709, Winsock (AFD.SYS)의 Windows 보조 기능에서 EOP 릴리스.
이 CVE 중 5 개는 모두 Microsoft에 의해 야생에서 악용 된대로 상장되었지만 아직 공개되지 않았습니다. 그들 모두는 중요한 심각성으로 평가되며,이 모든 것은 CVSS 등급 7.8을 운반하는 엔진 스크립트에 의해 저장됩니다.
The Action1 Patches 전문가의 사장 겸 공동 설립자 인 Mike Walters는 계산 CLF에서 중요성을 고려할 때 두 가지 CLFS 문제가 특히 위험하다고 강조되었으며, 이는 등록 및 핵 장치 공급 업체가 널리 사용되며 다양한 시스템 서비스 및 세 번째 응용 분야에서 널리 사용되는 중요한 구성 요소입니다.
Walters는“이러한 취약점을 사용하는 공격자는 체계적인 수준의 특권을 악화시켜 임의 코드를 시작하거나 악의적 인 프로그램을 설치하거나 데이터 변경 또는 보안 보호를 분리 할 수 있도록 완전히 제어 할 수 있습니다.
“필요한 경우 복잡성이 낮고 최소한의 특권은 심각한 위험입니다. 특히 해당 지역의 확인 된 작업을 고려하여 [and] 현재 공공 운영의 출판이 없다는 사실에도 불구하고, 활발한 공격의 존재는 잠재적으로 개선 된 지속적인 위협 (APT)을 포함한 대상 캠페인이 이미 진행되고 있음을 시사합니다.
Walters는“조직은 잠재적 인 타협을 방지하기 위해 이러한 취약점의 즉각적인 평가 및 복원에 우선 순위를 두어야합니다. 기업, 정부, 교육 또는 소비자 부문 전체에서 Windows 시스템을 제어하는 조직은 전 세계 Windows 추적을 감안할 때 수백만의 장치가 위험에 처해있을 것입니다.
DWM 핵심 라이브러리의 CVE-2025-30400은 또한 보안 관리자의 수정 목록에서 높아야한다고 몰입 형 위협 연구의 수석 책임자 인 KEV BRIN은 언급했다. 그는 다음과 같이 설명했습니다.“이용 된 경우,이를 통해 공격자는 영향을받는 호스트에서 시스템 수준에서 허가를 얻을 수 있습니다.이 수준의 권한을 사용하면 공격자는 안전 도구 및 사용자 계정을 포함하여 호스트를 완전히 제어 할 수있어 잠재적으로 도메인에 액세스 할 수 있습니다.
“이 CVE는 Microsoft Command에 의해 감지 된”익스플로잇 “으로 표시되어 있습니다. 랜섬웨어 지점을 포함한 위협 그룹이이를 다시 사용하여 포괄적이기 때문에 패치가 즉시 사용되어야한다는 것을 의미합니다.”
Brin은 이런 일이 발생하자마자 사이버 명령과 위협 사냥꾼은 대규모 작업을 사용할 때 위협의 행위자가 시작된 시점 사이의 창에서 놀랍지 않은지 확인하기 위해 타협 지표 (IOC)의 존재를 위해 시스템을 신속하게 고려해야한다고 덧붙였습니다.
Brin의 동료 인 탐사 연구원 Ben Hopkins는 대본에서 CVE-201205-30397 및 AFD.SYS의 CVE-2015-32709의 나머지 운영 제로 일의 규칙을 통제했습니다.
“스크립트 엔진의 메모리 손상에 대한 취약점은 Microsoft 스크립트 메커니즘이 메모리에서 잘못된 객체를 유발할 때 발생하며,이 경우 공격자가 수행하는 권한이 증가하게됩니다.”
“이 특정 취약점은 존재합니다 … 자원 사용 (“유형 혼란 “)에 대한 액세스가 포함되어 있습니다 (“유형 혼란 “)는 공격자가 네트워크를 통해 코드를 실행할 수 있습니다.이 맥락에서 혼란의 유형은 프로그램이 실제로 데이터의 일부를 실수로 고려할 때 발생하여 공격자가 특이적이고 예측할 수없는 행동으로 이어지고 공격자가 자신의 권한을 높일 수있게 해줍니다.
비전문가의 경우, 시스템 수준에서 특권에 도달 한 경우 위협 행위자는 기밀 데이터에 쉽게 접근 할 수 있고 피해자 네트워크의 다른 더 가치있는 부분에 대한 기회를 찾을 수 있음을 의미합니다.
소켓의 네트워크 작업을 지원하고 사용자 공간에서 Winsock (Windows 소켓 API)을 연결하는 Windows Nucleus의 주요 드라이버 인 AFD.SYS에 영향을 미치는 질문에 의존하고, 핵에서 핵의 드라이버를 연결하면 Hopkins는 여전히 무단 공격자가 행동에 영향을 미칠 수있는 조건을 사용할 수 있다고 설명했습니다. 그들은 포함 할 것입니다. 특권을 높이는 능력.
두 경우 모두 이는 시스템 수준에서 특권에 도달 한 후 위협 행위자가 기밀 데이터에 쉽게 액세스 할 수 있고 피해자 네트워크의 다른 가치있는 부분에서 회전 할 수있는 기회를 찾을 수 있음을 의미합니다.
오늘 (5 월 13 일), 두 번의 추가 제로 데이가 공개되었지만 글을 쓰는 시점에서 철자는 아직 공격으로보고되지 않았습니다. 이것은 CVE-2025-26685, Microsoft Defender의 가짜에 대한 취약성 인 CVE-2015-32702, Visual Studio의 RCE 취약성입니다. 둘 다 CVSS 6.5 및 7.8 등급을 각각 운반하는 중요한 심각성으로 평가됩니다.
같은 목적으로 먼 노동자
마지막으로, MAL 업데이트는 Azure, Azure DevOps, Storage Resource Azure, Microsoft Dataverse, Microsoft MSAGSFeedback.zureWebsites.net, Microsoft Office, Microsoft Power Apps, Microsoft Vidual Machine Bus 및 Demote Desktop (RDP) 클라이언트의 자동화에 영향을 미치는 총 11 개의 중요한 단점을 이끌어냅니다. Microsoft에 따르면, 이러한 문제는 정보 공개 전에 EOP에서 위조까지 영역을 시작하고 6 명은 RCE로 이어집니다.
중요한 문제 중에서, Walters의 공동 책임자와 Action1 Alex Vovk의 공동 창립자는 Computer Weekly에 두 개의 RDP 결함이 특히 구별된다고 말했습니다. 그것들은 CVE-2025-29966 및 CVE-2025-29967로 추적됩니다.
Vovk는“두 가지 취약점 모두 원격 코드 타협 및 데이터 위반을 포함한 중요한 위험을 나타냅니다.
“원격 데스크탑 컴퓨터의 서비스를 광범위하게 구현하면 많은 조직이 잠재적으로 노출 될 수 있습니다. CVE-2025-29966 및 CVE-2025-29967은 원격 액세스 매체의 고객 및 서버 구성 요소를 보장 해야하는 긴급한 필요성을 강조합니다.”
