补丁概述
2024年1月9日,微软官方发布了1月安全更新,针对48个 Microsoft CVE 和5个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含2个严重漏洞(Critical)和46个重要漏洞(Important)。从漏洞影响上看,有11个远程代码执行漏洞、11个信息泄露漏洞、10个特权提升漏洞、7个安全功能绕过漏洞、6个拒绝服务漏洞、3个欺骗漏洞。
48个漏洞中,目前暂无漏洞发现被在野利用或被公开披露,有9个利用可能性较大的漏洞。
本次安全更新涉及多个Windows主流版本,包括Windows 10、Windows 11、Windows Server 2022等;涉及多款主流产品和组件,如Windows 消息队列、Windows Hyper-V、Microsoft Office等。
重点关注漏洞
严重(Critical)漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2024-20674 |
9.0 |
Windows 身份验证方法 |
|
CVE-2024-20700 |
7.5 |
Windows Hyper-V |
-
CVE-2024-20674:Windows Kerberos 安全功能绕过漏洞,利用可能性较大,且CVSS 3.1 Base Score高达9.0。经过身份验证的攻击者可以通过建立中间机(MITM)攻击或其他本地网络欺骗技术来利用此漏洞,然后向客户端受害者计算机发送恶意 Kerberos 消息,将其自身欺骗为 Kerberos 身份验证服务器。成功利用此漏洞要求攻击者在运行攻击之前首先需要获得对受限网络的访问权限,该漏洞被利用后可能会影响超出易受攻击组件的安全权限管理的安全范围的资源。
-
CVE-2024-20700:Windows Hyper-V 远程代码执行漏洞。成功利用此漏洞要求攻击者在运行攻击之前首先需要获得对受限网络的访问权限,并需要攻击者赢得竞争条件。
利用可能性较大的漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2024-21318 |
8.8 |
Microsoft Office SharePoint |
|
CVE-2024-20653 |
7.8 |
Windows 通用日志文件系统驱动程序 |
|
CVE-2024-20683 |
7.8 |
Windows Win32K |
|
CVE-2024-20686 |
7.8 |
Windows Win32 内核子系统 |
|
CVE-2024-20698 |
7.8 |
Windows 内核 |
|
CVE-2024-21310 |
7.8 |
Windows 云文件微型过滤驱动 |
|
CVE-2024-20652 |
7.5 |
Windows 脚本 |
|
CVE-2024-21307 |
7.5 |
远程桌面客户端 |
-
CVE-2024-21318:Microsoft SharePoint Server 远程代码执行漏洞,CVSS 3.1 Base Score高达8.8。在基于网络的攻击中,经过身份验证的攻击者(至少拥有网站所有者权限)可以利用该漏洞注入任意代码并在 SharePoint Server 上下文中执行此代码。
-
CVE-2024-20653:Microsoft 通用日志文件系统特权提升漏洞。成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
-
CVE-2024-20683、CVE-2024-20686:Win32k 特权提升漏洞。成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
-
CVE-2024-20698:Windows 内核特权提升漏洞。成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
-
CVE-2024-21310:Windows 云文件微型过滤驱动特权提升漏洞。成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
-
CVE-2024-20652:Windows HTML 平台安全功能绕过漏洞。攻击者需要准备目标环境以提高利用可靠性。如果 API 通过传递包含 Lanman 重定向器设备对象的设备路径的 URL 返回区域值“Intranet”,则攻击者可以绕过 MapURLToZone 方法。WebDav 设备同理。
-
CVE-2024-21307:远程桌面客户端远程代码执行漏洞。未经授权的攻击者必须等待用户发起连接,才有机会利用此漏洞,并需要攻击者赢得竞争条件。
CVSS 3.1 Base Score高评分漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2024-0057 |
9.1 |
.NET and Visual Studio |
|
CVE-2024-0056 |
8.7 |
SQL Server |
-
CVE-2024-0057:NET、.NET Framework 和 Visual Studio 安全功能绕过漏洞。攻击者可以通过创建特制的故意引入或故意引发链构建失败的 X.509 证书来利用此漏洞。当基于 Microsoft .NET Framework 的应用程序使用 X.509 链构建 API 但由于逻辑缺陷而未完全验证 X.509 证书时,存在安全功能绕过漏洞。攻击者提供带有格式错误签名的任意不受信任的证书,从而触发框架中的错误。该框架将正确报告 X.509 链构建失败,但会返回错误的失败原因代码。利用此原因代码做出自己的链构建信任决策的应用程序可能会无意中将此场景视为成功的链构建。这可能允许对手破坏应用程序的典型身份验证逻辑。
-
CVE-2024-0056:Microsoft.Data.SqlClient 和 System.Data.SqlClient SQL 数据提供程序安全功能绕过漏洞。攻击者必须将自己注入到目标与受害者请求的资源之间的逻辑网络路径中,以读取或修改网络通信(即中间机 MITM 攻击)。成功利用此漏洞的攻击者可以执行该中间机攻击,并可以解密并读取或修改客户端和服务器之间的 TLS 流量。漏洞细节及保护措施见https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-0056。
处置建议
根据微软官方指引,尽快下载安装补丁包进行修复,也可开启Windows自动更新保证补丁包的自动安装。
Microsoft 1月安全更新指引:
https://msrc.microsoft.com/update-guide/releaseNote/2024-Jan
原文始发于微信公众号(山石网科安全技术研究院):微软2024年1月补丁日重点漏洞安全预警
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论