CVE-2024-38200 微软披露 Office 2016及更高版本 0day，仍在开发补丁中

微软披露了一个影响 Office 2016 及更高版本的高严重性零日漏洞，目前该漏洞仍在等待补丁。

该安全漏洞编号为 CVE-2024-38200，是由信息泄露弱点引起的，使得未经授权的行为者可以访问受保护的信息，例如系统状态或配置数据、个人信息或连接元数据。

该零日漏洞影响多个 32 位和 64 位 Office 版本，包括 Office 2016、Office 2019、Office LTSC 2021 和 Microsoft 365 企业版应用。

尽管微软的可利用性评估表明 CVE-2024-38200 被利用的可能性较小，但 MITRE 已将  此类弱点被利用的可能性标记为高度可能。

微软的建议解释说：“在基于网络的攻击场景中，攻击者可以托管一个网站（或利用接受或托管用户提供内容的受感染网站），其中包含旨在利用该漏洞的特制文件。”

“但是，攻击者无法强迫用户访问该网站。相反，攻击者必须说服用户点击链接，通常是通过电子邮件或即时通讯消息进行诱惑，然后说服用户打开特制的文件。”

该公司正在开发安全更新来解决此零日漏洞，但尚未公布发布日期。

更多细节将在 Defcon 上公布

虽然雷德蒙德尚未透露有关该漏洞的任何细节，但该漏洞的发现归功于 PrivSec Consulting 安全顾问 Jim Rush 和 Synack Red Team 成员 Metin Yunus Kandemir。

PrivSec 的董事总经理 Peter Jakowetz 告诉 BleepingComputer，Rush 将在即将举行的“NTLM - 最后的旅程” Defcon 演讲中披露有关此漏洞的更多信息。

“我们将深入研究我们向微软披露的几个新漏洞（包括绕过对现有 CVE 的修复），一些有趣且有用的技术，结合来自多个漏洞类别的技术，从而获得一些意想不到的发现和一些绝对经过验证的漏洞，” Rush 解释道。

“我们还将发现一些在合理库或应用程序中根本不应该存在的默认设置，以及一些 Microsoft NTLM 相关安全控制中的明显漏洞。”

今天早些时候，BleepingComputer 联系 Synack 发言人询问有关 CVE-2024-38200 漏洞的更多详细信息时，Synack 发言人没有立即发表评论。

微软还在致力于修补可能被利用来“取消修补”最新 Windows 系统 并重新引入旧漏洞的零日漏洞。

该公司本周早些时候还表示，正在考虑修补自 2018 年以来就被利用的Windows 智能应用控制和 SmartScreen 绕过漏洞。

原文始发于微信公众号（独眼情报）：CVE-2024-38200 微软披露 Office 2016及更高版本 0day，仍在开发补丁中