一、情况综述

2025年5月，我省互联网络总体运行情况良好。基础网络运行总体平稳，未发生重特大网络安全事件。本月我省移动互联网恶意程序事件日志量共约58.66万件，僵尸网络、木马程序、蠕虫事件日志量共约251.97万条。

分析来看，本月我省恶意程序事件总数有所增加，环比约增长52.3%。监测僵尸网络、木马程序、蠕虫攻击总数有所增加，环比约增长86.8%。

二、重要威胁预警

微软官方发布了2025年05月的安全更新。本月更新公布了268个漏洞，包含29个远程执行代码漏洞、20个特权提升漏洞、16个信息泄露漏洞、7个拒绝服务漏洞、4个身份假冒漏洞、2个安全功能绕过漏洞，其中11个漏洞级别为“Critical”（高危），66个为“Important”（严重）。以下为本月需注意已公开/已出现在野攻击利用的漏洞：

1. Windows Common Log File System (CLFS) 驱动程序特权提升漏洞

（CVE-2025-32701）此漏洞已在野利用。漏洞存在于Windows Common Log File System (CLFS)驱动程序中，攻击者可通过释放后使用（Use-After-Free）内存漏洞，在目标系统上提升权限，可能完全控制受害主机。

2. Microsoft Windows Scripting Engine 类型混淆远程代码执行漏洞

（CVE-2025-30397）此漏洞无需用户交互。漏洞存在于Microsoft Windows Scripting Engine中，攻击者可通过发送特制的URL，利用其存在的类型混淆（Type Confusion）漏洞，在目标系统上执行任意代码，可能完全控制受害主机，此漏洞已在野利用。

3. Windows 远程桌面客户端远程代码执行漏洞（CVE-2025-29966）此漏洞需要用户交互。漏洞存在于Windows远程桌面客户端中，攻击者可通过发送特制的请求，触发堆缓冲区溢出漏洞，从而在目标系统上执行任意代码，可能完全控制受害主机。

4. Web Threat Defense 驱动程序远程拒绝服务漏洞

（CVE-2025-29971）此漏洞无需用户交互。漏洞存在于Windows 的 Web Threat Defense（WTD.sys）驱动程序中，攻击者可通过发送特制的网络请求，触发越界读取（Out-of-Bounds Read）漏洞，导致系统崩溃或服务中断，从而实现远程拒绝服务攻击。

5. Windows Ancillary Function Driver for WinSock 提权漏洞

（CVE-2025-32709）此漏洞无需用户交互。漏洞存在于Windows 的 AFD.sys网络驱动中，本地攻击者可利用释放后使用（Use-After-Free）漏洞提升权限至SYSTEM。一旦成功利用，攻击者可完全控制设备，适用于攻击链中的本地提权阶段，此漏洞已在野利用。

三、安全建议

本月微软的安全公告公开的系统漏洞，可采用以下方式进行更新。

（一）Windows系统更新

自动更新：Microsoft Update默认启用，当系统检测到可用更新时，将会自动下载更新并在下一次启动时安装。

手动更新：

1. 点击“开始菜单”或按Windows快捷键，点击进入“设置”

2. 选择“更新和安全”，进入“Windows更新”（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，具体步骤为“控制面板”->“系统和安全”->“Windows更新”）

3. 选择“检查更新”，等待系统将自动检查并下载可用更新。

4. 重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

（二）漏洞补丁安装

下载Microsoft官方提供的补丁，访问链接：https://msrc.microsoft.com/update-guide

Microsoft官方完整通告，访问链接：https://msrc.microsoft.com/update-guide/releaseNote/2025-May