微軟發布6月例行更新，修補已被實際利用的WebDAV零時差漏洞

6月10日微軟發布本月例行更新（Patch Tuesday），修補67個漏洞，數量較上個月78個有所減少。從漏洞的類型來看，遠端程式碼執行（RCE）漏洞25個最多，約占整體四成；其次是資訊洩露漏洞、權限提升漏洞，分別有17個、15個；其餘有6個是阻斷服務（DoS）漏洞、2個安全功能繞過漏洞，以及2個可被用於欺騙的漏洞。從危險的程度而言，其中有10個是重大層級，8個是遠端程式碼執行漏洞、2個是權限提升漏洞。

值得留意的是，這次有兩個零時差漏洞，其中一個已被用於實際攻擊活動，另一個在修補前就被公開。這些漏洞分別是：WebDAV遠端程式碼執行漏洞CVE-2025-33053，以及SMB用戶端權限提升漏洞CVE-2025-33073。

其中，CVE-2025-33053是資安業者Check Point發現及通報，攻擊者可在未經授權的情況下利用這項弱點，透過WebDAV資料夾檔案名稱或路徑的外部控制，從而透過網路執行任意程式碼，CVSS風險評為8.8。對於漏洞發現的過程，Check Point表示，他們於今年3月看到被稱為Stealth Falcon（FruityArmor）的APT駭客，用於攻擊一家土耳其國防公司，過程中攻擊者藉由操弄Windows內建工具的工作資料夾，而能在他們控制的WebDAV伺服器執行檔案。

另一個在修補前就被公開的漏洞CVE-2025-33073，形成的原因是SMB存取控制不當，通過身分驗證的攻擊者能透過網路達到權限提升的目的，風險值為8.8。攻擊者可利用惡意指令碼讓受害電腦連回攻擊者的系統，並透過SMB進行身分驗證。雖然微軟公布的資訊並不多，但根據科技部落格Born City的報導，德國研究網路電腦緊急應變團隊DFN-CERT曾於本月6日透過電子郵件寄送，向大家警告此事，指出資安業者RedTeam Pentesting GmbH找到並通報這項漏洞，呼籲使用者在微軟發布更新後要儘速修補。