-赛博昆仑漏洞安全风险通告-

2024年9月微软补丁日安全风险通告

漏洞描述

近日，赛博昆仑CERT监测到微软发布了2024年9月安全更新，涉及以下应用：Windows,Azure,Microsoft Office,Outlook for iOS,Microsoft 365 Apps,Microsoft SQL Server,Power Automate for Desktop,Microsoft Dynamics,Microsoft AutoUpdate for Mac,Microsoft SharePoint

• CVE-2024-38014 Windows Installer 权限提升漏洞

在野 在 Windows Installer 中发现了另一个权限提升漏洞，可能通过链式利用获得 SYSTEM 权限。值得注意的是，此漏洞无需用户交互即可被利用，这使得它在实际利用中可能有些不同。不管如何，权限提升通常与代码执行漏洞配合使用，以完全控制受害系统。建议用户尽快测试并部署此更新。

• CVE-2024-38217 Windows Mark of the Web 安全特性绕过漏洞

在野 在Windows Mark of the Web 中发现一个安全特性绕过漏洞。尽管微软未提供具体的攻击细节，以前的 MoTW 绕过通常与针对加密交易者的勒索软件团伙有关。此漏洞也已公开，建议用户密切关注并尽快部署相关更新。

• CVE-2024-38226 Microsoft Publisher 安全特性绕过漏洞

在野 在 Microsoft Publisher 中发现了一个安全功能绕过漏洞。此漏洞涉及攻击者利用特制文件，诱导目标打开这些文件，即可绕过 Office 宏策略并在目标系统上执行代码。尽管攻击者需要说服用户打开特制文件，但一旦成功打开，则可能导致严重的安全后果。建议用户尽快测试并部署此更新以防此类攻击。

• CVE-2024-43491 Microsoft Windows Update 远程代码执行漏洞

在野 在 Microsoft Windows 更新中发现了一个远程代码执行漏洞。这个降级是通过影响 Windows 10 系统的可选组件的服务堆栈更新引入的。管理员需要安装服务堆栈更新 (KB5043936) 和安全更新 (KB5043083) 才能完全解决该漏洞。虽然目前没有在野被利用的报告，但此漏洞使一些可选组件成为潜在攻击目标。所幸的是，只有部分 Windows 10 系统受到影响。建议用户检查来自 Microsoft 的详细说明，以确定是否受影响，并尽快测试和部署这些更新。

• CVE-2024-38018 Microsoft SharePoint Server 远程代码执行漏洞

Microsoft Office SharePoint 中存在一个反序列化未受信任数据漏洞。该漏洞允许经过身份验证的攻击者利用他们在 SharePoint 服务器上的最低站点成员（Site Member）权限（PR:L），通过网络攻击执行远程代码。虽然目前没有公开披露或已被利用的报告，但由于其漏洞性质和影响严重，建议用户尽快测试并部署此更新，以防止潜在的攻击利用。

• CVE-2024-43464 Microsoft SharePoint Server 远程代码执行漏洞

Microsoft SharePoint Server 中发现了一个反序列化不受信任数据的远程代码执行漏洞。该漏洞允许经过身份验证，并拥有网站所有者权限（Site Owner）及以上权限的攻击者上传特制文件，并通过构造特定的 API 请求触发反序列化漏洞，从而在 SharePoint 服务器上下文中执行任意代码。尽管需要高权限，但攻击成功后果严重。此漏洞虽未公开披露也未被利用，但按照 CVSS 评分，此漏洞的预期利用可能性较高。建议用户尽快更新到最新软件版本以防止潜在风险。

• CVE-2024-38119 Windows Network Address Translation (NAT) 远程代码执行漏洞

在Windows Network Address Translation (NAT) 组件中发现了一个释放后重用漏洞。未经身份验证的攻击者可以在邻近网络中通过利用此漏洞在目标系统上执行任意代码。此漏洞漏洞利用的难度较高，攻击者需要成功进行条件竞争。虽然目前尚未公开披露具体利用此漏洞的实例，但考虑到严重性和影响，建议用户尽快测试并部署此次更新。

目前，官方已发布安全补丁，建议受影响的用户尽快升级至安全版本。

https://msrc.microsoft.com/update-guide/releaseNote/2024-Sep

时间线