微软9月补丁星期二到底修复了4个还是5个0day？

在这些已修复漏洞中，1个被列为“公开已知”，另外4个是已遭活跃利用。不过，ZDI认为已遭活跃利用的漏洞数量应该是5个。具体如下：

CVE-2024-43491：微软Windows Update RCE漏洞。该漏洞不同寻常。最初看似是类似于黑帽大会上讨论的降级攻击，然而该降级似乎是通过对影响 Optional Components on Windows 10 系统上的 Servicing Stack 进行更新引入的。管理员需要同时安装该服务栈更新 (KB5043936) 和安全更新 (KB5043083) 才能完全修复该漏洞。还值得注意的是，虽然该漏洞并未遭在野利用，但导致其中一些 Optional Components 遭利用。值得庆幸的唯一一点是仅有一部分 Windows 10 系统受影响。用户可查看微软发布的 write-up 验证自己是否受影响，接着快速测试和部署这些更新。

CVE-2024-38226：微软 Publisher 安全特性绕过漏洞。不管是红队还是威胁行动者，他们的天才真是令人折服。谁会想到利用微软 Publisher 中的宏呢？该攻击涉及受影响 Publisher 版本打开特殊构造的文件。显然，攻击者需要说服目标打开该文件，但如打开，它将绕过Office宏策略并在目标系统上执行代码。

CVE-2024-38217：Windows MoTW 安全特性绕过漏洞。前几个月似乎对于 MoTW 的讨论已经够多了，但似乎要说的总是更多。这是本月修复的两个 MoTW 绕过之一，不过只有本漏洞被列为已遭攻击。微软并未发布相关详情，不过之前MoTW 绕过一般都和针对密币交易者的勒索软件团伙有关。该漏洞也被列为“公开已知”，但也并未发布更多详情。

CVE-2024-38014：Windows Installer 提权漏洞。该漏洞也可导致提权，进而导致系统遭在野利用。攻击者在 Installer 中置入另外一个安装程序。有意思的是，微软声称利用该漏洞无需用户交互，因此该利用的实际机制可能很奇特。不过此类提权漏洞一般需要结合代码执行漏洞才能接管系统。用户应迅速测试并部署该修复方案。

CVE-2024-43461：Windows MSHTML 平台欺骗漏洞。该漏洞类似于7月修复的另外一个漏洞CVE-2024-38112。ZDI威胁捕获团队在6月份发现该漏洞并将其报送微软。威胁行动者似乎迅速绕过了之前的补丁。当向微软报送该漏洞时，ZDI团队表示已向微软提示该漏洞已遭活跃利用，但目前微软并未将其标注为在野利用。ZDI认为用户应将其视作已遭利用，尤其是该漏洞影响所有受支持的 Windows 版本。