今年迄今为止,微软已承认发生21起利用Windows生态系统漏洞的零日攻击。9月补丁星期二推出的补丁涵盖了各种产品和操作系统组件中79个安全缺陷。受影响的产品包括Microsoft Office生产力套件、Azure、SQL Server、Windows Admin Center、远程桌面许可和Microsoft Streaming Service。
| Microsoft 已意识到服务堆栈中存在一个漏洞,该漏洞已回滚对影响 Windows 10 版本 1507(初始版本于 2015 年 7 月发布)上可选组件的一些漏洞的修复。这意味着攻击者可以利用 Windows 10 版本 1507(Windows 10 Enterprise 2015 LTSB 和 Windows 10 IoT Enterprise 2015 LTSB)系统上这些之前已缓解的漏洞,这些系统已安装 2024 年 3 月 12 日发布的 Windows 安全更新 - KB5035858(OS 内部版本 10240.20526)或 2024 年 8 月之前发布的其他更新。所有更高版本的 Windows 10 均不受此漏洞影响。 |
Microsoft 2024 年 9 月补丁
本月,微软在 Windows 和 Windows 组件、Office 和 Office 组件、Azure、Dynamics Business Central、SQL Server、Windows Hyper-V、Web 标记 (MOTW) 和远程桌面许可服务中发布了 79 个新的 CVE。
本月周二发布的补丁中,7 个被评为严重,71 个被评为重要,1 个被评为中等严重。本次发布的补丁数量与我们上个月在雷德蒙德看到的数量相符,但再次说明,如此多的漏洞受到主动攻击的情况并不常见。
其中一个 CVE 被列为已知,另外四个在发布时被列为正在受到攻击。但是,我们 ZDI 认为这个数字应该是五个。稍后会详细介绍。让我们仔细看看本月的一些更有趣的更新,从当前正在利用的漏洞开始:
CVE-2024-43491 - Microsoft Windows 更新远程代码执行漏洞
这是一个不寻常的错误。起初,它读起来像是与Black Hat上讨论的类似的降级攻击。然而,这次降级似乎是通过影响 Windows 10 系统上可选组件的服务堆栈更新引入的。管理员需要同时安装服务堆栈更新 (KB5043936) 和此安全更新 (KB5043083) 才能完全解决该漏洞。值得注意的是,虽然这个特定的错误没有被广泛利用,但它允许利用其中一些可选组件。唯一的好消息是只有一部分 Windows 10 系统受到影响。查看 Microsoft 的文章以了解您是否受到影响,然后快速测试和部署这些更新。
CVE-2024-38226 - Microsoft Publisher 安全功能绕过漏洞
我总是对攻击者的聪明才智感到惊讶,无论是红队成员还是威胁行为者。谁会想到利用 Microsoft Publisher 中的宏?我已经完全忘记了这个程序。但我们在这里。攻击涉及受影响的 Publisher 版本打开特制文件。显然,攻击者需要说服目标打开文件,但如果他们这样做,它将绕过 Office 宏策略并在目标系统上执行代码。
CVE-2024-38217 - Windows Mark of the Web 安全功能绕过漏洞
在过去的几个月里,我们已经讨论了很多关于 MoTW绕过的问题,但似乎还有更多要说的。这是本月收到修复的两个 MoTW 绕过之一,但只有这一个被列为受到攻击。微软没有提供有关攻击的详细信息,但在过去,MoTW 绕过与针对加密货币交易者的勒索软件团伙有关。这个漏洞也被列为众所周知的,但也没有提供有关该详细信息的信息。
CVE-2024-38014 - Windows Installer 特权提升漏洞
这是另一个特权提升漏洞,可导致 SYSTEM 在野外被利用。并不是在召唤 Xzibit meme,但我认为攻击者在安装程序中放置额外的安装程序是件好事。有趣的是,微软表示此漏洞不需要用户交互,因此实际的漏洞利用机制可能很奇怪。不过,此类特权提升通常与代码执行漏洞相结合,以接管系统。快速测试并部署此修复程序。
CVE-2024-43461 - Windows MSHTML 平台欺骗漏洞
此漏洞与我们报告的漏洞类似,并于 7 月进行了修补。ZDI 威胁搜寻团队在野外发现了此漏洞,并于 6 月将其报告给 Microsoft。看来威胁行为者很快就绕过了之前的补丁。当我们告诉 Microsoft 有关该漏洞时,我们表示它正在被积极利用。我们不确定他们为什么不将其列为受到主动攻击,但您应该将其视为受到主动攻击,尤其是因为它会影响所有受支持的 Windows 版本。
另外,Adobe 发布了针对多种产品中至少 28 个已记录的安全漏洞的补丁,并警告 Windows 和 macOS 用户都有可能遭受代码执行攻击。
最紧急的问题是影响广泛部署的 Acrobat 和 PDF Reader 软件,它为两个内存损坏漏洞提供了掩护,这些漏洞可被利用来启动任意代码。
该公司还推出了Adobe ColdFusion 重大更新,以修复一个严重漏洞,该漏洞使企业面临代码执行攻击。该漏洞标记为 CVE-2024-41874,CVSS 严重性评分为 9.8/10,影响 ColdFusion 2023 的所有版本。
微软补丁日系列回顾
微软2024年7月份于周二补丁日针对143个漏洞发布安全补丁
