昨天是许多科技业者发布5月例行更新的日子,微软、Adobe、SAP等业者皆发布相关资安公告,呼吁用户要尽速采取行动,套用更新程式来缓解漏洞。
其中,最受到关注的资安漏洞,包括了微软修补的5项零时差漏洞,因为曝险的元件皆有骇客利用相关零时差漏洞的记录;另一个焦点则是SAP修补的NetWeaver重大漏洞,通报此事的资安业者表示,该漏洞其实是先前公布的10分漏洞CVE-2025-31324形成的主要原因。
【攻击与威胁】
资安业者Genians揭露北韩骇客组织APT37于今年3月,针对韩国发动鱼叉式网钓攻击,寄送伪造的国安论坛邀请信,诱使受害者下载压缩档并执行内含的LNK捷径档,进而植入RoKRAT间谍程式。此次行动被命名为Operation ToyBox Story,骇客采用Dropbox作为C2通讯管道,同时透过PowerShell进行无档案(Fileless)攻击,试图绕过传统防毒侦测。
攻击信件主题包含「北韩军人赴俄罗斯战场」与「川音2.0时代下的韩国对策」等具时事关联的议题,并伪装成学术机构邀请。一旦受害者点击内含的Dropbox连结,并开启压缩档中的LNK档案,便会触发多层恶意PowerShell指令,载入RoKRAT模组并于记忆体中执行,过程中完全不落地,有效躲避静态扫描。
RoKRAT收集到的资料经加密后会透过Dropbox、pCloud与Yandex等合法云端平台传回C2伺服器,研究人员将这类手法称做LOTS(Living off Trusted Sites)。
【漏洞与修补】
5月13日微软发布本月例行更新(Patch Tuesday),总共修补78个漏洞,数量较上个月126个减少许多。从漏洞的类型来看,远端程式码执行(RCE)漏洞29个最多,占总数的三分之一;其次是权限提升漏洞、资讯泄露漏洞,分别有20个、16个;其余有7个是阻断服务(DoS)漏洞、4个能被用于欺骗的漏洞,以及2个安全功能绕过漏洞。
虽然整体修补的漏洞数量较上个月大幅下降,但值得留意的是,这次有5个已被用于实际攻击的零时差漏洞,美国网路安全暨基础设施安全局(CISA)同日列入已遭利用的漏洞列表(KEV),并要求联邦机构必须在6月3日前完成修补。
这些漏洞分别是:Windows指令码引擎记忆体中断漏洞CVE-2025-30397、微软Windows桌面视窗管理(DWM)核心程式库权限提升漏洞CVE-2025-30400、Windows通用事件记录档案系统(CLFS)驱动程式权限提升漏洞CVE-2025-32701及CVE-2025-32706,以及供WinSock使用的Windows附属功能驱动程式(Ancillary Function Driver,AFD)权限提升漏洞CVE-2025-32709。
根据CVSS风险评分,危险程度较高的是CVE-2025-4428,此为远端程式码执行漏洞,风险值为7.2;另一个漏洞CVE-2025-4427涉及身分验证绕过,攻击者可在无需帐密的情况下存取受到保护的资源,风险值为5.3。其串连攻击方式为,先利用CVE-2025-4427取得未授权存取权限,进而利用CVE-2025-4428在系统上执行任意程式码。