Albisteak

Microsoft-en segurtasuna eguneratzea - 2025eko Maiatza

Argitalpen-data: 

Laburpen exekutiboa

2025eko maiatzean, Microsoft-ek bere Segurtasun Buletin hilabetekaria argitaratu du, eta bertan guztira 78 kalteberatasun identifikatu dira. Kalteberatasun horien banaketa Microsoft-en produktu sorta zabal batean aurkitzen da, 11 kritikotzat eta 7 0-day moduan sailkatuta.

Kalteberatasun kritikoen artean, urruneko kodearen exekuzioa nabarmentzen da Urruneko Mahaigainaren Bezeroan (CVE-2025-29966 eta CVE-2025-29967), Microsoft Office-n (CVE-2025-30377 eta CVE-2025-30386), eta Microsoft Dataverse-n (CVE-2025-47732). Horrez gain, pribilegioen igoerako kalteberatasunak identifikatu dira Microsoft DWM Liburutegi Nagusian (CVE-2025-30400), Windows-en Erregistro Sistema Arruntaren Kontrolatzailean (CVE-2025-32701 eta CVE-2025-32706), eta Azure Automation-en (CVE-2025-29827).

Explotazio jarduera detektatu da kalteberatasun hauetako batzuetan, bereziki aurrez aipatutako pribilegio igoeren kalteberatasunetan, baita Script Motorrean memoria ustelkeriaren kalteberatasunean ere (CVE-2025-30397).

Kalteberatasunen sailkapena haien deskribapenaren arabera honakoa da:

  • 31 urruneko kode exekuzioaren kalteberatasun.
  • 16 pribilegio igoeraren kalteberatasun.
  • 8 zerbitzu-ukapenaren (DoS) kalteberatasun.
  • 6 spoofing (identitate iruzurra) motako kalteberatasun.
  • 5 informazioaren ustekabeko zabalkundearen kalteberatasun.
  • 4 "use after free" motako kalteberatasun.
  • 4 cross-site scripting (XSS) kalteberatasun.
  • 3 babesa saihesteko (bypass) kalteberatasun.
  • 1 heap motako buffer overflow kalteberatasun.

Kalteberatasun hauek arintzeko, erabiltzaileei eta sistemaren administratzaileei gomendatzen zaie Microsoft-en azken eguneratzeak aplikatzea. Eguneratze hauek Microsoft-en eguneratze zerbitzuaren bidez edo Microsoft-en deskarga webgunearen bidez eskuratu daitezke.

Eragindako baliabideak

Kalteberatasun hauek honako produktuetan eragiten dute:

  • Active Directory Certificate Services (AD CS)
  • Azure
  • Azure Automation
  • Azure DevOps
  • Azure File Sync
  • Azure Storage Resource Provider
  • Microsoft Brokering File System
  • Microsoft Dataverse
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office Outlook
  • Microsoft Office PowerPoint
  • Microsoft Office SharePoint
  • Microsoft PC Manager
  • Microsoft Power Apps
  • Microsoft Scripting Engine
  • Remote Desktop Gateway Service
  • Role: Windows Hyper-V
  • Universal Print Management Service
  • UrlMon
  • Visual Studio
  • Visual Studio Code
  • Web Threat Defense (WTD.sys)
  • Windows Ancillary Function Driver for WinSock
  • Windows Common Log File System Driver
  • Windows Deployment Services
  • Windows Drivers
  • Windows DWM
  • Windows File Server
  • Windows Fundamentals
  • Windows Hardware Lab Kit
  • Windows Installer
  • Windows Kernel
  • Windows LDAP - Lightweight Directory Access Protocol
  • Windows Media
  • Windows NTFS
  • Windows Remote Desktop
  • Windows Routing and Remote Access Service (RRAS)
  • Windows Secure Kernel Mode
  • Windows SMB
  • Windows Trusted Runtime Interface Driver
  • Windows Virtual Machine Bus
  • Windows Win32K - GRFX

Azterketa teknikoa

Honako hauek dira lehertutako kalteberatasunen xehetasunak:

  • CVE-2025-30400: Pribilegio-igoeraren kalteberatasuna Microsoft DWM Liburutegi Nagusian
    • Larriltasuna: Garrantzitsua
    • CVSS: 7.8
    • Argitalpena: Ez
    • Esplotazioa: Antzemanda
    • Azken bertsioan esplotazioa: Esplotazioa antzemanda
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Ordezko konponbideak: Ez
  • CVE-2025-32701: Pribilegio-igoeraren kalteberatasuna Windows-en Erregistro Fitxategi Sistemaren Kontrolatzailean
    • Larriltasuna: Garrantzitsua
    • CVSS: 7.8
    • Argitalpena: Ez
    • Esplotazioa: Antzemanda
    • Azken bertsioan esplotazioa: Esplotazioa antzemanda
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Ordezko konponbideak: Ez
  • CVE-2025-32706: Pribilegio-igoeraren kalteberatasuna Windows-en Erregistro Fitxategi Sistemaren Kontrolatzailean
    • Larriltasuna: Garrantzitsua
    • CVSS: 7.8
    • Argitalpena: Ez
    • Esplotazioa: Antzemanda
    • Azken bertsioan esplotazioa: Esplotazioa antzemanda
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Ordezko konponbideak: Ez
  • CVE-2025-32709: Pribilegio-igoeraren kalteberatasuna Windows-en WinSock-erako Funtzio Osagarriaren Kontrolatzailean
    • Larriltasuna: Garrantzitsua
    • CVSS: 7.8
    • Argitalpena: Ez
    • Esplotazioa: Antzemanda
    • Azken bertsioan esplotazioa: Esplotazioa antzemanda
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Ordezko konponbideak: Ez
  • CVE-2025-30397: Memoria ustelkeriaren kalteberatasuna Script Motorean
    • Larriltasuna: Garrantzitsua
    • CVSS: 7.5
    • Argitalpena: Ez
    • Esplotazioa: Antzemanda
    • Azken bertsioan esplotazioa: Esplotazioa antzemanda
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Ordezko konponbideak: Ez

Hedatutako kalteberatasunen xehetasunak honako hauek dira:

  • CVE-2025-32702: Urruneko Kode Exekuzioaren Kalteberatasuna Visual Studio-n
    • Larriltasuna: Garrantzitsua
    • CVSS: 7.8
    • Argitalpena: Bai
    • Esplotazioa: Ez da antzeman
    • Azken bertsioan esplotazioa: Zaila
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Ordezko konponbideak: Ez
  • CVE-2025-26685: Identitate Lapurretaren Kalteberatasuna Microsoft Defender for Identity-n
    • Larriltasuna: Garrantzitsua
    • CVSS: 6.5
    • Argitalpena: Bai
    • Esplotazioa: Ez da antzeman
    • Azken bertsioan esplotazioa: Zaila
    • CVSS bektorea: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
    • Ordezko konponbideak: Ez

Kalteberatasun kritikoen xehetasunak hauek dira:

  • CVE-2025-29813: Pribilegio-igoeraren kalteberatasuna Azure DevOps Server-en
    • Larriltasuna: Kritikoa
    • CVSS: 10.0
    • Argitalpena: Ez
    • Esplotazioa: Ez da antzeman
    • Azken bertsioan esplotazioa: A/E
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Ordezko konponbideak: Ez
  • CVE-2025-29972: Azure Biltegiratze Baliabide Hornitzailearen suplantazioaren kalteberatasuna
    • Larriltasuna: Kritikoa
    • CVSS: 9.9
    • Argitalpena: Ez
    • Esplotazioa: Ez da antzeman
    • Azken bertsioan esplotazioa: A/E
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Ordezko konponbideak: Ez
  • CVE-2025-29827: Pribilegio-igoeraren kalteberatasuna Azure Automation-en
    • Larriltasuna: Kritikoa
    • CVSS: 9.9
    • Argitalpena: Ez
    • Esplotazioa: Ez da antzeman
    • Azken bertsioan esplotazioa: A/E
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
    • Ordezko konponbideak: Ez
  • CVE-2025-47733: Informazio-ihesaren kalteberatasuna Microsoft Power Apps-en
    • Larriltasuna: Kritikoa
    • CVSS: 9.1
    • Argitalpena: Ez
    • Esplotazioa: Ez da antzeman
    • Azken bertsioan esplotazioa: A/E
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
    • Ordezko konponbideak: Ez
  • CVE-2025-29966: Urruneko kodearen exekuzioaren kalteberatasuna Urruneko Mahaigaineko Bezeroan
    • Larriltasuna: Kritikoa
    • CVSS: 8.8
    • Argitalpena: Ez
    • Esplotazioa: Ez da antzeman
    • Azken bertsioan esplotazioa: Ez da litekeena
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Ordezko konponbideak: Ez
  • CVE-2025-29967: Urruneko kodearen exekuzioaren kalteberatasuna Urruneko Mahaigaineko Bezeroan
    • Larriltasuna: Kritikoa
    • CVSS: 8.8
    • Argitalpena: Ez
    • Esplotazioa: Ez da antzeman
    • Azken bertsioan esplotazioa: Ez da litekeena
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Ordezko konponbideak: Ez
  • CVE-2025-47732: Urruneko kodearen exekuzioaren kalteberatasuna Microsoft Dataverse-n
    • Larriltasuna: Kritikoa
    • CVSS: 8.7
    • Argitalpena: Ez
    • Esplotazioa: Ez da antzeman
    • Azken bertsioan esplotazioa: A/E
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
    • Ordezko konponbideak: Ez
  • CVE-2025-30377: Urruneko kodearen exekuzioaren kalteberatasuna Microsoft Office-n
    • Larriltasuna: Kritikoa
    • CVSS: 8.4
    • Argitalpena: Ez
    • Esplotazioa: Ez da antzeman
    • Azken bertsioan esplotazioa: Ez da litekeena
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ordezko konponbideak: Ez
  • CVE-2025-30386: Urruneko kodearen exekuzioaren kalteberatasuna Microsoft Office-n
    • Larriltasuna: Kritikoa
    • CVSS: 8.4
    • Argitalpena: Ez
    • Esplotazioa: Ez da antzeman
    • Azken bertsioan esplotazioa: Litekeena
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Ordezko konponbideak: Ez
  • CVE-2025-33072: Informazioaren dibulgazioaren kalteberatasuna Microsoft msagsfeedback.azurewebsites.net-en
    • Larriltasuna: Kritikoa
    • CVSS: 8.1
    • Argitalpena: Ez
    • Esplotazioa: Ez da antzeman
    • Azken bertsioan esplotazioa: Ez da litekeena
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
    • Ordezko konponbideak: Ez
  • CVE-2025-29833: Urruneko kodearen exekuzioaren kalteberatasuna Microsoft Virtual Machine Bus-en (VMBus)
    • Larriltasuna: Kritikoa
    • CVSS: 7.1
    • Argitalpena: Ez
    • Esplotazioa: Ez da antzeman
    • Azken bertsioan esplotazioa: Ez da litekeena
    • CVSS bektorea: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H
    • Ordezko konponbideak: Ez

Arintzea/Konponbidea

Kalteberatasun hauek eta antzeko beste batzuk prebenitzeko, gomendagarria da Microsoft-en segurtasun-eguneratze berrienak aplikatzea sistema kaltetu guztietan.

Erreferentzia gehigarriak