微软2024年10月份于周二补丁日针对118个漏洞发布安全补丁，两个被广泛利用

文摘科技 2024-10-10 00:00 河南

微软已发布安全更新，修复其软件产品中总共118 个漏洞，其中两个漏洞已被广泛利用。

在 118 个漏洞中，3 个被评为严重，113 个被评为重要，2 个被评为中等严重程度。补丁星期二更新不包括这家科技巨头在过去一个月内解决的基于 Chromium 的 Edge 浏览器中的另外 25 个漏洞。

其中五个漏洞在发布时已被列为已知漏洞，其中两个漏洞正被积极利用为零日漏洞 -

CVE-2024-43572（CVSS 评分：7.8）- Microsoft 管理控制台远程代码执行漏洞（检测到利用）
CVE-2024-43573（CVSS 评分：6.5）- Windows MSHTML 平台欺骗漏洞（检测到利用）
CVE-2024-43583（CVSS 评分：7.8）- Winlogon 特权提升漏洞
CVE-2024-20659（CVSS 评分：7.1）- Windows Hyper-V 安全功能绕过漏洞
CVE-2024-6197（CVSS 评分：8.8）- 开源 Curl 远程代码执行漏洞（非 Microsoft CVE）

值得注意的是，CVE-2024-43573 与CVE-2024-38112和CVE-2024-43461类似，这两者都是另外两个 MSHTML 欺骗漏洞，在 2024 年 7 月之前曾被 Void Banshee 威胁行为者利用来传播 Atlantida Stealer 恶意软件。

微软并未提及这两个漏洞是如何被利用的，以及被谁利用，以及漏洞的传播范围有多广。微软对报告 CVE-2024-43572 的研究人员 Andres 和 Shady 表示感谢，但对 CVE-2024-43573 却未表示感谢，因此这可能是一个补丁绕过案例。

Tenable 高级研究工程师 Satnam Narang 在与 The Hacker News 分享的一份声明中表示：“自从发现 CVE-2024-43572 以来，微软现在阻止在系统上打开不受信任的 MSC 文件。”

美国网络安全和基础设施安全局 (CISA) 也注意到了 CVE-2024-43572 和 CVE-2024-43573 的活跃利用，并将其添加到已知被利用漏洞 ( KEV ) 目录中，要求联邦机构在 2024 年 10 月 29 日之前应用修复程序。

在雷德蒙德周二披露的所有漏洞中，最严重的漏洞是微软配置管理器中的一个远程执行漏洞（CVE-2024-43468，CVSS 评分：9.8），它可能允许未经身份验证的行为者运行任意命令。

报告称：“未经身份验证的攻击者可以通过向目标环境发送特制的请求来利用此漏洞，这些请求以不安全的方式处理，从而使攻击者能够在服务器和/或底层数据库上执行命令。”

另外两个严重程度为“严重”的漏洞还与 Arduino 的 Visual Studio Code 扩展（CVE-2024-43488，CVSS 分数：8.8）和远程桌面协议 (RDP) 服务器（CVE-2024-43582，CVSS 分数：8.1）中的远程代码执行有关。

Rapid7 首席软件工程师 Adam Barnett 在谈到 CVE-2024-43582 时表示：“要利用该漏洞，攻击者需要向 Windows RPC 主机发送故意格式错误的数据包，并导致在 RPC 服务上下文中执行代码，尽管这在实践中意味着什么可能取决于包括目标资产上的 RPC 接口限制配置在内的因素。”

另外，10 月份，Adobe 发布了 9 个补丁，修复了 Adobe Substance 3D Painter、Commerce、Dimension、Animate、Lightroom、InCopy、InDesign、Substance 3D Stager 和 Adobe FrameMaker 中的 52 个 CVE。这些补丁中最大、最紧急的补丁涉及Adobe Commerce中的 22 个 CVE，其中包括对“严重”级代码执行漏洞的修复。尽管未列为公开或受到攻击，但Adob e 将其列为优先级 2。Dimension 的更新修复了两个可能导致代码执行的“严重”级漏洞。Animate 的修复程序修复了 11 个漏洞，其中一些可能导致代码执行。Substance 3D Stager补丁涉及 8 个漏洞 – 所有漏洞都被评为“严重”，可能导致代码执行。FrameMaker 修复程序解决的 5 个 CVE也都是“严重”级代码执行漏洞。其余公告都只解决一个 CVE。Substance 3D Painter中的内存泄漏被评为“重要”。Lightroom 补丁也是如此。InCopy补丁修复了一个“严重”级的无限制上传错误， InDesign修复也是如此。