【风险提示】天融信关于微软2024年9月安全更新的风险提示
2024-9-11 15:57:42 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

0x00 背景介绍

2024年9月11日,天融信阿尔法实验室监测到微软官方发布了9月安全更新。此次更新共修复79个漏洞,其中7个严重漏洞(Critical)、71个重要漏洞(Important)、1个中危漏洞(Moderate)。其中权限提升漏洞30个、远程代码执行漏洞23个、信息泄露漏洞11个、拒绝服务漏洞8个、欺骗漏洞2个、安全功能绕过漏洞4个、XSS漏洞1个。

本次微软安全更新涉及组件包括:Windows Installer、Windows Mark of the Web (MOTW)、Microsoft Office Publisher、Windows Update、Microsoft Office SharePoint、Microsoft Streaming Service、Windows Win32K、Microsoft Graphics Component、Windows Setup and Deployment、Windows MSHTML Platform、Azure Stack、SQL Server、Windows TCP/IP等多个产品和组件。
微软本次修复中,CVE-2024-38014、CVE-2024-38217、CVE-2024-38226、CVE-2024-43491被在野利用,且CVE-2024-38217被公开披露。
0x01 重点漏洞描述
本次微软更新中重点漏洞的信息如下所示。

  • 在野利用和公开披露漏洞

CVE漏洞名称CVSS3.1
CVE-2024-38014Windows Installer本地权限提升漏洞7.8/7.2
CVE-2024-38217Windows网络标记(MOTW)安全功能绕过漏洞5.4/5.0
CVE-2024-38226Microsoft Publisher安全功能绕过漏洞7.3/6.8
CVE-2024-43491Windows Update远程代码执行漏洞9.8/9.1

  • CVE-2024-38014:Windows Installer本地权限提升漏洞

该漏洞已发现在野利用。此漏洞是Windows Installer中的权限管理不当漏洞(CWE-269)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
  • CVE-2024-38217:Windows网络标记(MOTW)安全功能绕过漏洞
该漏洞已发现在野利用,且被公开披露。此漏洞是Windows网络标记(MOTW)安全功能中的保护机制失效漏洞(CWE-693)。未经身份认证的远程攻击者通过在其控制的服务器上托管一个文件,然后诱使目标用户下载并打开该文件来利用此漏洞。成功利用此漏洞能够绕过Windows网络标记(MOTW)安全功能。
  • CVE-2024-38226:Microsoft Publisher安全功能绕过漏洞
该漏洞已发现在野利用。此漏洞是Microsoft Publisher中的保护机制失效漏洞(CWE-693)。经过身份认证的攻击者可以通过社会工程说服受害者从网站下载并打开特制文件来利用此漏洞。成功利用此漏洞的攻击者可以绕过用于阻止不受信任或恶意文件的Office宏策略。
  • CVE-2024-43491:Windows Update远程代码执行漏洞
该漏洞已发现在野利用。此漏洞是Windows Update中的释放后重用UAF漏洞(CWE-416)。未经身份认证的远程攻击者通过向目标系统发送特制的数据包来利用此漏洞。成功利用此漏洞可使目标系统的安全补丁回滚到之前的版本,从而重新引入已修复的漏洞。
只有启用了Windows 10 1507中一些可选组件的系统会受到此漏洞的影响,具体影响组件请查看以下链接。
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-43491
  • 漏洞利用可能性较大的漏洞
CVE
漏洞名称
CVSS3.1
CVE-2024-38018Microsoft SharePoint Server远程代码执行漏洞8.8/7.7
CVE-2024-38227Microsoft SharePoint Server远程代码执行漏洞7.2/6.3
CVE-2024-38228Microsoft SharePoint Server远程代码执行漏洞7.2/6.3
CVE-2024-43464Microsoft SharePoint Server远程代码执行漏洞7.2/6.3
CVE-2024-38237Kernel Streaming WOW Thunk服务驱动本地权限提升漏洞7.8/6.8
CVE-2024-38238Kernel Streaming服务驱动本地权限提升漏洞7.8/6.8
CVE-2024-38241Kernel Streaming服务驱动本地权限提升漏洞7.8/6.8
CVE-2024-38242Kernel Streaming服务驱动本地权限提升漏洞7.8/6.8
CVE-2024-38243Kernel Streaming服务驱动本地权限提升漏洞7.8/6.8
CVE-2024-38244Kernel Streaming服务驱动本地权限提升漏洞7.8/6.8
CVE-2024-38245Kernel Streaming服务驱动本地权限提升漏洞7.8/6.8
CVE-2024-38246Windows Win32k本地权限提升漏洞7.0/6.1
CVE-2024-38252Windows Win32k本地权限提升漏洞7.8/6.8
CVE-2024-38253Windows Win32k本地权限提升漏洞7.8/6.8
CVE-2024-38247Windows图形组件本地权限提升漏洞7.8/6.8
CVE-2024-38249Windows图形组件本地权限提升漏洞7.8/6.8
CVE-2024-43457Windows设置和部署本地权限提升漏洞7.8/6.8
CVE-2024-43461Windows MSHTML平台欺骗漏洞8.8/7.7
CVE-2024-43487Windows网络标记(MOTW)安全功能绕过漏洞6.5/6.0

  • CVE-2024-38018、CVE-2024-43464、CVE-2024-38227、CVE-2024-38228:Microsoft SharePoint Server远程代码执行漏洞

CVE-2024-38018和CVE-2024-43464是Microsoft SharePoint Server中的不可信数据反序列化漏洞(CWE-502)。经过身份认证的站点成员可以将特制文件上传到目标SharePoint Server,并制作专门的API请求以触发文件参数的反序列化来利用这些漏洞。成功利用这些漏洞的攻击者能够在SharePoint Server上下文中执行任意代码。
CVE-2024-38227和CVE-2024-38228是Microsoft SharePoint Server中的命令注入漏洞(CWE-77)。经过身份认证的具有站点所有者权限的用户可以利用此漏洞注入任意命令,并在SharePoint Server上下文中执行这些命令。

  • CVE-2024-38237、CVE-2024-38238、CVE-2024-38241、CVE-2024-38242、CVE-2024-38243、CVE-2024-38244、CVE-2024-38245:Kernel Streaming服务驱动本地权限提升漏洞

CVE-2024-38237、CVE-2024-38238和CVE-2024-38242是Kernel Streaming服务驱动中的堆溢出漏洞(CWE-122)。CVE-2024-38241、CVE-2024-38243、CVE-2024-38244、CVE-2024-38245是Kernel Streaming服务驱动中的输入验证不当漏洞(CWE-20)。
经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
  • CVE-2024-38246、CVE-2024-38252、CVE-2024-38253:Windows Win32k本地权限提升漏洞
CVE-2024-38246是Windows Win32k中的栈溢出漏洞(CWE-121)。CVE-2024-38252和CVE-2024-38253是Windows Win32k中的释放后重用UAF漏洞(CWE-416)。
经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。

  • CVE-2024-38247、CVE-2024-38249:Windows图形组件本地权限提升漏洞

CVE-2024-38247是Windows图形组件中的双重释放漏洞(CWE-415)。CVE-2024-38249是Windows图形组件中的释放后重用UAF漏洞(CWE-416)。
经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。

  • CVE-2024-43457:Windows设置和部署本地权限提升漏洞

CVE-2024-43457是Windows设置和部署中的未经引用的搜索路径或元素漏洞(CWE-428)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
  • CVE-2024-43461:Windows MSHTML平台欺骗漏洞
CVE-2024-43461是Windows MSHTML平台中的关键信息的UI错误表达漏洞(CWE-451)。远程攻击者可以诱骗受害者访问特制的网站,执行欺骗攻击并可能危及受影响的系统。
  • CVE-2024-43487:Windows网络标记(MOTW)安全功能绕过漏洞
CVE-2024-43487是Windows网络标记(MOTW)安全功能中的保护机制失效漏洞(CWE-693)。未经身份认证的远程攻击者通过在其控制的服务器上托管一个文件,然后诱使目标用户下载并打开该文件来利用此漏洞。成功利用此漏洞能够绕过Windows网络标记(MOTW)安全功能。
  • 高评分漏洞
CVE
漏洞名称
CVSS3.1
CVE-2024-38220Azure Stack Hub权限提升漏洞9.0/7.8
CVE-2024-26186Microsoft SQL Server Native Scoring远程代码执行漏洞8.8/7.7
CVE-2024-21416Windows TCP/IP远程代码执行漏洞8.1/7.1

  • CVE-2024-38220:Azure Stack Hub权限提升漏洞

CVE-2024-38220是Azure Stack Hub中的访问控制不当漏洞(CWE-284)。经过普通用户身份认证的远程攻击者必须等待受害者发起连接才能利用此漏洞。成功利用此漏洞的攻击者可以未经授权访问系统资源,并可能允许他们以与受感染进程相同的权限执行操作。

  • CVE-2024-26186:Microsoft SQL Server Native Scoring远程代码执行漏洞

CVE-2024-26186是Microsoft SQL Server Native Scoring中的释放后重用UAF漏洞(CWE-416)。成功利用此漏洞需要经过身份验证的攻击者利用SQL Server Native Scoring将预先训练的模型应用于他们的数据,而无需将其移出数据库。
本月更新中还发布了很多此组件的漏洞,请到MSRC官网查看更多漏洞的详细信息。
  • CVE-2024-21416:Windows TCP/IP远程代码执行漏洞
CVE-2024-21416是Windows TCP/IP中的堆溢出漏洞(CWE-122)。未经身份认证的远程攻击者通过向配置了NetNAT服务的Windows计算机发送特制请求来利用此漏洞。该服务不是默认配置。此外,必须存在特定的网络条件才能成功利用该漏洞。
0x02 影响版本
影响多个主流版本的Windows,多个主流版本的Microsoft系列软件。
0x03 修复建议

  • Windows自动更新

Windows系统默认启用Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”。

2、选择“更新和安全”,进入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”->“系统和安全”->“Windows更新”)。

3、选择“检查更新”,等待系统将自动检查并下载可用更新。

4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。

  • 手动安装补丁

另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的9月补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2024-Sep

0x04 声明

天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。

天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。

天融信

阿尔法实验室

长按二维码关注我们


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg3MDAzMDQxNw==&mid=2247496658&idx=1&sn=02005282a824b73cb47aac5119d935e7&chksm=ce96beecf9e137fae7e4be791c9f50de52bb8e2824998b05c3266c58ec9a9c95465fa71300b1&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh