补丁概述
2024 年 5 月 14 日,微软官方发布了 5 月安全更新,针对 62 个 Microsoft CVE 和 12 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 1 个严重漏洞(Critical)、59 个重要漏洞(Important)、1 个中危漏洞(Moderate)和 1 个低危漏洞(Low)。从漏洞影响上看,有 25 个远程代码执行漏洞、18 个权限提升漏洞、8个信息泄露漏洞、5 个欺骗漏洞、3 个拒绝服务漏洞、2 个安全功能绕过漏洞和 1 个篡改漏洞。
62 个漏洞中,目前有漏洞 CVE-2024-30051、CVE-2024-30040 被发现在野利用,漏洞 CVE-2024-30051、CVE-2024-30046 已被公开披露,有 10 个利用可能性较大的漏洞。
本次安全更新涉及多个 Windows 主流版本,包括 Windows 10、Windows 11、Windows Server 2022 等;涉及多款主流产品和组件,如 Windows 移动宽带、Windows 路由和远程访问服务(RRAS)、Windows 桌面窗口管理器核心库、Windows 通用日志文件系统驱动程序、Microsoft Dynamics 365 Customer Insights 等。
重点关注漏洞
在野利用和公开披露漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2024-30051 |
7.8 |
Windows DWM 核心库 |
|
CVE-2024-30040 |
8.8 |
Windows MSHTML 平台 |
|
CVE-2024-30046 |
5.9 |
Visual Studio |
-
CVE-2024-30051:Windows DWM 核心库特权提升漏洞,已被发现在野利用并被公开披露。基于堆的缓冲区溢出漏洞,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。此漏洞被近期的 Qakbot 恶意软件网络钓鱼攻击通过使用恶意文档进行利用并提权。
-
CVE-2024-30040:Windows MSHTML 平台安全功能绕过漏洞,已被发现在野利用。攻击者必须诱使用户将恶意文件加载到易受攻击的系统上(通常通过电子邮件或即时通讯信息),然后说服用户操纵特制文件,但不一定单击或打开恶意文件。成功利用此漏洞的未经身份验证的攻击者可以通过说服用户打开恶意文档来获得代码执行权限,此时攻击者可以在用户的上下文中执行任意代码。
-
CVE-2024-30046:Visual Studio 拒绝服务漏洞,已被公开披露。使用不正确同步的共享资源并发执行(CWE-362)缺陷,成功利用此漏洞需要攻击者投入时间通过发送持续或间歇性数据来重复利用尝试。
利用可能性较大的漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2024-30044 |
8.8 |
Microsoft Office SharePoint |
|
CVE-2024-29996 |
7.8 |
Windows 通用日志文件系统驱动程序 |
|
CVE-2024-30025 |
7.8 |
Windows 通用日志文件系统驱动程序 |
|
CVE-2024-30032 |
7.8 |
Windows DWM 核心库 |
|
CVE-2024-30035 |
7.8 |
Windows DWM 核心库 |
|
CVE-2024-30038 |
7.8 |
Windows Win32K - ICOMP |
|
CVE-2024-30049 |
7.8 |
Windows Win32K - ICOMP |
|
CVE-2024-30037 |
7.5 |
Windows 通用日志文件系统驱动程序 |
|
CVE-2024-30034 |
5.5 |
Windows 云文件微型过滤驱动 |
|
CVE-2024-30050 |
5.4 |
Windows Mark of the Web (MOTW) |
-
CVE-2024-30044:Microsoft SharePoint Server 远程代码执行漏洞,被标记为严重(Critical)漏洞。具有站点所有者或更高权限的经过身份验证的攻击者可以将特制文件上传到目标 Sharepoint Server,并制作专门的 API 请求以触发文件参数的反序列化,从而能够在 Sharepoint 服务器的上下文中执行远程代码。 -
CVE-2024-29996、CVE-2024-30025:Windows 通用日志文件系统驱动程序特权提升漏洞。越界读取(CWE-125)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
-
CVE-2024-30032、CVE-2024-30035:Windows DWM 核心库特权提升漏洞。Use After Free(CWE-146)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
-
CVE-2024-30038:Win32k 特权提升漏洞。基于堆的缓冲区溢出(CWE-122)缺陷,经过身份验证的本地攻击者可以通过 Win32k.sys 驱动程序中的漏洞获得提升的本地系统或管理员权限。
-
CVE-2024-30049:Windows Win32 内核子系统特权提升漏洞。Use After Free(CWE-146)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
-
CVE-2024-30037:Windows 通用日志文件系统驱动程序特权提升漏洞,越界读取(CWE-125)缺陷。
-
CVE-2024-30034:Windows 云文件微型过滤驱动信息泄露漏洞。使用不兼容类型访问资源(CWE-843)缺陷,利用此漏洞可能会泄露某些内核内存内容。
-
CVE-2024-30050:Windows Mark of the Web 安全功能绕过漏洞。攻击者可以制作恶意文件来逃避 MOTW 防御,从而导致安全功能(例如依赖 MOTW 标记的 Microsoft Office 中的受保护视图)的完整性和可用性受到有限损失。为了利用此漏洞,攻击者可以在攻击者控制的服务器上托管文件,然后诱使目标用户下载并打开该文件,从而允许攻击者干扰 MOTW 功能。
CVSS 3.1 Base Score高评分漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2024-30006 |
8.8 |
Microsoft WDAC OLE DB provider for SQL |
|
CVE-2024-30007 |
8.8 |
Microsoft Brokering File System |
|
CVE-2024-30009 |
8.8 |
Windows 路由和远程访问服务(RRAS) |
|
CVE-2024-30010 |
8.8 |
Windows Hyper-V |
|
CVE-2024-30017 |
8.8 |
Windows Hyper-V |
-
CVE-2024-30006:Microsoft WDAC OLE DB provider for SQL 远程代码执行漏洞。攻击者必须诱骗或说服连接到网络的经过身份验证的受害者使用其 SQL 客户端应用程序连接到恶意 SQL 数据库。建立连接后,服务器可向客户端发送特制的回复,从而利用该漏洞并允许在用户的 SQL 客户端应用程序上下文中执行任意代码。
-
CVE-2024-30007:Microsoft Brokering File System 特权提升漏洞。攻击者可以通过利用驱动程序网络路径验证管理中的安全监督来利用此漏洞,这可能会绕过旨在在应用程序与远程主机交互期间保护用户凭据的既定安全协议,并可能会授予对网络资源的未经授权的访问,从而有助于在合法用户的假定身份下执行未经授权的操作。成功利用此漏洞的攻击者可使用当前用户的凭据对远程主机进行身份验证。
-
CVE-2024-30009:Windows 路由和远程访问服务(RRAS)远程代码执行漏洞,数字截断错误(CWE-197)。此攻击需要客户端连接到恶意服务器,这将允许攻击者在客户端上执行代码。
-
CVE-2024-30010、CVE-2024-30017:Windows Hyper-V 远程代码执行漏洞。攻击者必须经过身份验证才能利用此漏洞,成功利用此漏洞的攻击者可以从远程计算机向主机上的 Hyper-V 副本端点发送格式错误的数据包。
处置建议
根据微软官方指引,尽快下载安装补丁包进行修复,也可开启 Windows 自动更新保证补丁包的自动安装。
Microsoft 5 月安全更新指引:
https://msrc.microsoft.com/update-guide/releaseNote/2024-May
原文始发于微信公众号(山石网科安全技术研究院):微软2024年5月补丁日重点漏洞安全预警
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论