补丁概述
2024 年 9 月 10 日,微软官方发布了 9 月安全更新,针对 79 个 Microsoft CVE 进行修复。其中,包含 7 个严重漏洞(Critical)、71 个重要漏洞(Important)和 1 个中危漏洞(Moderate)。从漏洞影响上看,有 30 个特权提升漏洞、23 个远程代码执行漏洞、11 个信息泄露漏洞、8 个拒绝服务漏洞、4 个安全功能绕过漏洞和 3 个欺骗漏洞。
79 个漏洞中,目前有漏洞 CVE-2024-38217、CVE-2024-43491、CVE-2024-38014、CVE-2024-38226 被发现在野利用,漏洞 CVE-2024-38217 已被公开披露,有 19 个利用可能性较大的漏洞。
本次安全更新涉及多个 Windows 主流版本,包括 Windows 11、Windows 10、Windows Server 2022 等;涉及多款主流产品和组件,如 SQL Server、Windows 远程桌面授权服务、Microsoft Streaming Service、Microsoft Office SharePoint 等。
重点关注漏洞
在野利用和公开披露漏洞
CVE | CVSS | Tag |
CVE-2024-38217 | 5.4 | Windows Mark of the Web (MOTW) |
CVE-2024-43491 | 9.8 | Windows 更新 |
CVE-2024-38014 | 7.8 | Windows 安装程序 |
CVE-2024-38226 | 7.3 | Microsoft Office Publisher |
CVE-2024-38217:Windows Web 查询标记安全功能绕过漏洞,已被发现在野利用并被公开披露。为了利用此漏洞,攻击者可以在攻击者控制的服务器上托管恶意文件,诱使目标用户下载并打开该文件,从而导致安全功能(例如 SmartScreen 应用程序信誉安全检查和/或旧版 Windows 附件服务安全提示)的完整性和可用性受到有限的损失。 CVE-2024-43491:Microsoft Windows 更新远程代码执行漏洞,已被发现在野利用,被标记为严重(Critical)漏洞。Microsoft 已意识到服务堆栈中存在漏洞,该漏洞已回滚了对影响 Windows 10 版本 1507(初始版本于 2015 年 7 月发布)上可选组件的一些漏洞的修复。这意味着攻击者可以利用 Windows 10 版本 1507 系统上的这些先前已缓解的漏洞。Windows 10 的所有后续版本均不受此漏洞的影响。 CVE-2024-38014:Windows Installer 特权提升漏洞,已被发现在野利用。权限管理不当(CWE-269)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。 CVE-2024-38226:Microsoft Publisher 安全功能绕过漏洞,已被发现在野利用。成功利用此漏洞的攻击者可以绕过用于阻止不受信任或恶意文件的 Office 宏策略。攻击本身是由对目标系统进行身份验证的用户在本地执行的。经过身份验证的攻击者可以通过社会工程说服受害者从网站下载并打开特制文件来利用此漏洞,这将可能导致对受害者计算机的本地攻击。
利用可能性较大的漏洞
CVE | CVSS | Tag |
CVE-2024-38018 | 8.8 | Microsoft Office SharePoint |
CVE-2024-43461 | 8.8 | Windows MSHTML 平台 |
CVE-2024-38237 | 7.8 | Microsoft Streaming Service |
CVE-2024-38238 | 7.8 | Microsoft Streaming Service |
CVE-2024-38241 | 7.8 | Microsoft Streaming Service |
CVE-2024-38242 | 7.8 | Microsoft Streaming Service |
CVE-2024-38243 | 7.8 | Microsoft Streaming Service |
CVE-2024-38244 | 7.8 | Microsoft Streaming Service |
CVE-2024-38245 | 7.8 | Microsoft Streaming Service |
CVE-2024-38247 | 7.8 | Microsoft Graphics Component |
CVE-2024-38249 | 7.8 | Microsoft Graphics Component |
CVE-2024-38252 | 7.8 | Windows Win32K - ICOMP |
CVE-2024-38253 | 7.8 | Windows Win32K - ICOMP |
CVE-2024-43457 | 7.8 | Windows 安装和部署 |
CVE-2024-38227 | 7.2 | Microsoft Office SharePoint |
CVE-2024-38228 | 7.2 | Microsoft Office SharePoint |
CVE-2024-43464 | 7.2 | Microsoft Office SharePoint |
CVE-2024-38246 | 7.0 | Windows Win32K - GRFX |
CVE-2024-43487 | 6.5 | Windows Mark of the Web (MOTW) |
CVE-2024-38018:Microsoft SharePoint Server 远程执行代码漏洞,被标记为严重(Critical)漏洞。在基于网络的攻击中,经过身份验证的攻击者(至少具有站点成员权限)可以在 SharePoint Server 上远程执行代码。
CVE-2024-43461:Windows MSHTML 平台欺骗漏洞。用户界面(UI)错误表述关键信息(CWE-451)缺陷,该漏洞被认为已在实际攻击行动中被攻击者积极利用,但公告中暂未提及。
CVE-2024-38237:Kernel Streaming WOW Thunk 服务驱动程序特权提升漏洞。基于堆的缓冲区溢出(CWE-122)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2024-38238、CVE-2024-38242:内核流式处理服务驱动程序特权提升漏洞。基于堆的缓冲区溢出(CWE-122)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2024-38241、CVE-2024-38243、CVE-2024-38244、CVE-2024-38245:内核流式处理服务驱动程序特权提升漏洞。输入验证不当(CWE-20)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2024-38247:Windows 图形组件特权提升漏洞。重复释放(CWE-415,Double-Free)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2024-38249:Windows 图形组件特权提升漏洞。Use-After-Free(CWE-416)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2024-38252、CVE-2024-38253:Windows Win32 内核子系统特权提升漏洞。Use-After-Free(CWE-416)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2024-43457:Windows 安装和部署特权提升漏洞。不带引号的搜索路径或元素(CWE-428)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2024-38227、CVE-2024-38228:Microsoft SharePoint Server 远程执行代码漏洞。具有网站所有者或更高权限的经过身份验证的攻击者可以将特制文件上传到目标 SharePoint Server,并制作专门的 API 请求以触发文件参数的反序列化。这将使攻击者能够在 SharePoint Server 上下文中执行远程代码。
CVE-2024-43464:Microsoft SharePoint Server 远程执行代码漏洞,被标记为严重(Critical)漏洞。具有站点所有者权限的经过身份验证的攻击者可以利用该漏洞注入任意代码并在 SharePoint Server 上下文中执行此代码。
CVE-2024-38246:Win32k 特权提升漏洞。成功利用此漏洞需要攻击者赢得竞争条件,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2024-43487:Windows Web 查询标记安全功能绕过漏洞。攻击者必须向用户发送恶意文件并说服他们打开它,成功利用此漏洞的攻击者可以绕过 SmartScreen 用户体验。
严重漏洞(Critical)
CVE | CVSS | Tag |
CVE-2024-38220 | 9.0 | Azure Stack |
CVE-2024-38194 | 8.4 | Azure Web Apps |
CVE-2024-38216 | 8.2 | Azure Stack |
CVE-2024-38119 | 7.5 | Windows Network Address Translation (NAT) |
CVE-2024-38220、CVE-2024-38216:Azure Stack Hub 特权提升漏洞。此漏洞可能导致攻击者获得与其他租户的应用程序和内容交互的能力。成功利用此漏洞的攻击者可以获得对系统资源的未经授权的访问,从而可能允许他们使用与受感染进程相同的权限执行操作,这将会导致进一步的系统泄露和网络内未经授权的操作。
CVE-2024-38194:Azure Web 应用特权提升漏洞。经过身份验证的攻击者可利用 Azure Web 应用中的不当授权漏洞,通过网络提升权限。Microsoft 已完全缓解此漏洞,使用此服务的用户无需执行任何操作。
CVE-2024-38119:Windows 网络地址转换 (NAT) 远程代码执行漏洞。成功利用此漏洞要求攻击者在运行攻击之前首先需要获得对受限网络的访问权限,并需要攻击者赢得竞争条件。
处置建议
根据微软官方指引,尽快下载安装补丁包进行修复,也可开启 Windows 自动更新保证补丁包的自动安装。
Microsoft 9 月安全更新指引:
https://msrc.microsoft.com/update-guide/releaseNote/2024-Sep
如有侵权请联系:admin#unsafe.sh