吳明宜微軟於台北時間周三發佈 2025 年 6 月安全更新,修補 66 項漏洞,包括一個濫用的漏洞,以及一個已公開的漏洞。
本次安全更新只修補了 66 項漏洞,成為今年修補最少的一次。其中修補了 10 個重大漏洞、其中 8 個是遠端程式碼執行漏洞,2 個是權限升級漏洞。
2 個已公開的漏洞中,一個是已經遭到濫用的零時差漏洞為 CVE-2025-33053,為存在 Web Distributed Authoring and Versioning (WEBDAV) 元件的遠端程式碼執行漏洞,發現本漏洞的 Check Point 研究小組指出,成功濫用本漏洞可讓遠端攻擊者在受害系統上執行任意檔案。
微軟補充,用戶必須點選特製的 WebDav URL 才會被濫用這項漏洞。
CheckPoint 發現,濫用本漏洞的是名為 Stealth Falcon 的進階滲透攻擊(APT)組織,也就是國家駭客。時間點是在 2025 年三月,這個組織試圖對土耳其一家國防業者發動攻擊,他們使用一種前所未見的手法,藉由操縱合法 Windows 內建工具以執行代管其控制的 WebDAV 伺服器上的檔案。後來微軟才將漏洞命名為 CVE-2025-33053 。
由於 WebDAV 被大量用於企業遠端檔案管理、協同平台及舊式檔案共享工具,因此 CVE-2025-33073 將帶來重大風險。
另一個是已遭公開,但未被濫用的 CVE-2025-33073,它是一權限升級 (Elevation of Privilege, EoP) 漏洞,影響 Windows SMB 用戶端,出於 Windows SMB 存取控制不當所致,讓有基本權限的攻擊者取得受害系統上的 System 權限。要濫用這項漏洞,攻擊者可執行特製的惡意 Script,迫使受害者機器透過 SMB 連回攻擊者伺服器並且執行驗證,進而提升其權限。
一旦攻擊者進入系統,就可能關閉安全工具、外洩敏感資料、安裝持久型惡意程式或是在受害者網路上橫向移動,對其他系統下手。但若未能安裝更新,利用群組規則執行伺服器端 SMB 也能降低本漏洞風險。
CVE-2025-33053 及 CVE-2025-33073 風險值皆同樣列為 8.8 。