微软4月补丁星期二值得关注的漏洞:4个0day及更多
2024-4-10 15:42:7 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

本月微软共发布147个CVE漏洞,加上本月所提到的第三方CVE,总数达到了155个。这些漏洞中并不包含Pwn2Own 温哥华大赛中发布的漏洞。

在这些漏洞中,仅有3个被评级为“严重”,142个是“重要”级别,2个是“中危”级别。这是微软今年以来也是至少自2017年以来发布补丁最多的星期二。目前尚不清楚是否因工作囤积还是漏洞报送剧增造成的。

两个已遭利用的 0day

微软最初并未将这两个漏洞标记为“已遭活跃利用”,不过 Sophos 和 ZDI均分享了这些漏洞如何遭活跃利用的情况。

CVE-2024-26234是位于 Proxy 驱动中的欺骗漏洞。Sophos 公司表示,该漏洞是通过有效的“微软硬件发布者证书 (Microsoft Hardware Publisher Certificate)”签名的一个恶意驱动。该驱动用于部署此前由 Stairwell 披露的一个后门。

团队负责人 Christopher Budd 表示,此前报送给微软的驱动漏洞并未获得CVE漏洞但微软却发布了安全公告。目前尚不清楚为何微软今日未发布该驱动的CVE漏洞,除非是认为该驱动经过了上述有效证书的签名。

CVE-2024-29988是位于SmartScreen 中的提示安全特性绕过漏洞。该漏洞是对 CVE-2024-21412漏洞补丁的绕过,而后者也是对 CVE-2023-26025漏洞补丁的绕过。该漏洞可导致打开文件时,微软 Defender Smartscreen 提示遭绕过。威胁行动者以压缩包文件的格式发送利用,躲避EDR/NDR检测,之后组合利用其它漏洞绕过MotW。该漏洞被Water Hydra 黑客组织用于攻击 Forex 交易论坛和Telegram 股票交易的多个频道,牟取经济利益。

其它2个0day漏洞

Varonis 公司的研究人员也发现了两个 SharePoint 0day 漏洞,从服务器中下载文件时这两个漏洞更难以被检测到。微软并未发布相关的CVE编号,只是增加到后续打补丁工作中,目前也并未公布修复日期。

其它值得关注的漏洞

CVE-2024-20678是RPC 运行时远程代码执行漏洞。RPC 利用在野出现历史悠久,因此任何可导致代码执行后果的RPC漏洞均会引人关注。该漏洞利用虽然需要认证但无需任何权限提升。任何认证用户均可利用它。目前尚不清楚如果认证为 Guest 或匿名用户是否会遭攻击。快速搜索后发现,TCP 端口为135的130万个系统被暴露到互联网。预计很多人会开始寻求该利用。

CVE-2024-20670是Outlook 欺骗漏洞。该漏洞虽然被列为欺骗漏洞,但基于利用结果来看,它是信息泄露漏洞。所泄露的信息是NTLM哈希,它后续可用于欺骗目标用户。不论如何,用户需要点击邮件中的内容触发该漏洞。预览面板并非攻击向量。然而,几个月来我们已经发现了不少NTLM中继漏洞。Outlook 的用户更多,因此未来几个月该漏洞可能会被利用。

CVE-2024-26221是Windows DNS Server 远程代码执行漏洞。该漏洞是本月修复的七个DNS RCE漏洞之一,且这些漏洞较为相似。如果攻击者具有查询DNS服务器的权限,则可导致在受影响DNS服务器上实现RCE。这里也有一个时机因素,但如果DNS查询时机合适,那么攻击者就能够在目标服务器上执行任意代码。尽管并未特别说明,但从逻辑上来看代码执行可能会发生在DNS服务层面,这是提升后的结果。众所周知DNS服务器是重点目标,因此必须严肃对待该漏洞并迅速部署补丁。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

微软2月补丁星期二值得关注的漏洞

微软补丁星期二值得关注的漏洞

微软12月补丁星期二值得关注的漏洞

微软11月补丁星期二需要关注的漏洞

十月补丁星期二值得关注的漏洞

原文链接

https://www.zerodayinitiative.com/blog/2024/4/9/the-april-2024-security-updates-review

https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2024-patch-tuesday-fixes-150-security-flaws-67-rces/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519261&idx=1&sn=1f669e17acccbb5f3a974c466686d164&chksm=ea94bd77dde334619c916fa753497a102ad012bb069cba0cc174d147abf2488f2e649f7953f7&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh