【风险提示】天融信关于微软2024年10月安全更新的风险提示

admin
admin
admin
139803
文章
114
评论
2024年10月9日22:46:27评论38 views字数 4263阅读14分12秒阅读模式

【风险提示】天融信关于微软2024年10月安全更新的风险提示

0x00 背景介绍

2024年10月09日,天融信阿尔法实验室监测到微软官方发布了10月安全更新。此次更新共修复117个漏洞,其中3个严重漏洞(Critical)、112个重要漏洞(Important)、2个中危漏洞(Moderate)。其中权限提升漏洞28个、远程代码执行漏洞42个、信息泄露漏洞6个、拒绝服务漏洞26个、欺骗漏洞7个、安全功能绕过漏洞7个、篡改漏洞1个。

本次微软安全更新涉及组件包括:Microsoft Management Console、Windows MSHTML Platform、Windows Hyper-V、Winlogon、Windows Kernel、Microsoft Graphics Component、Windows Storage Port Driver、OpenSSH for Windows、Microsoft Office、Remote Desktop Client、Windows Remote Desktop Services、Windows Routing and Remote Access Service (RRAS)、Windows Mobile Broadband等多个产品和组件。

微软本次修复中,CVE-2024-43572、CVE-2024-43573被在野利用,且CVE-2024-20659、CVE-2024-43583被公开披露。
0x01 重点漏洞描述
本次微软更新中重点漏洞的信息如下所示。

  • 在野利用和公开披露漏洞

CVE 漏洞名称 CVSS3.1
CVE-2024-43572 Microsoft Management Console远程代码执行漏洞 7.8/7.2
CVE-2024-43573 Windows MSHTML平台欺骗漏洞 6.5/6.0
CVE-2024-20659 Windows Hyper-V安全功能绕过漏洞 7.1/6.6
CVE-2024-43583 Winlogon本地权限提升漏洞 7.8/6.8

  • CVE-2024-43572:Microsoft Management Console远程代码执行漏洞

此漏洞已发现在野利用。此漏洞是Microsoft Management Console中的对消息或数据结构的处理不当漏洞(CWE-707)。未经身份认证的远程攻击者说服受害者下载特制的Microsoft保存的控制台(MSC)文件并打开它来利用此漏洞。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。
  • CVE-2024-43573:Windows MSHTML平台欺骗漏洞
此漏洞已发现在野利用。此漏洞是Windows MSHTML平台中的XSS漏洞(CWE-79)。未经身份认证的远程攻击者说服受害者访问特制的链接来利用此漏洞。成功利用此漏洞的攻击者可以在用户浏览器中执行任意HTML和脚本代码。
  • CVE-2024-20659:Windows Hyper-V安全功能绕过漏洞
此漏洞已被公开披露。此漏洞是Windows Hyper-V中的不正确输入验证漏洞(CWE-20)。未经身份认证的局域网攻击者通过向目标系统发送特制的数据包来利用此漏洞。成功利用此漏洞的攻击者可以绕过UEFI,这可能导致虚拟机管理程序和安全内核受到损坏。攻击者要成功利用此漏洞,需要用户重新启动其机器。
  • CVE-2024-43583:Winlogon本地权限提升漏洞
此漏洞已被公开披露且利用可能性较大。此漏洞是Windows Winlogon组件中的以不必要的权限执行漏洞(CWE-250)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
  • 漏洞利用可能性较大的漏洞
CVE 漏洞名称 CVSS3.1
CVE-2024-43502 Windows Kernel本地权限提升漏洞 7.1/6.2
CVE-2024-43509 Windows图形组件本地权限提升漏洞 7.8/6.8
CVE-2024-43556 Windows图形组件本地权限提升漏洞 7.8/6.8
CVE-2024-43560 Windows Storage Port驱动本地权限提升漏洞 7.8/6.8
CVE-2024-43581 Windows OpenSSH远程代码执行漏洞 7.1/6.2
CVE-2024-43615 Windows OpenSSH远程代码执行漏洞 7.1/6.2
CVE-2024-43609 Microsoft Office欺骗漏洞 6.5/5.7

  • CVE-2024-43502:Windows Kernel本地权限提升漏洞

此漏洞是Windows Kernel中的使用未初始化资源漏洞(CWE-908)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。此漏洞允许攻击者泄露内核信息或使服务不可用,但不允许攻击者修改任何数据。

  • CVE-2024-43509、CVE-2024-43556:Windows图形组件本地权限提升漏洞

这些漏洞都是Windows图形组件中的释放后重用UAF漏洞(CWE-416)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
  • CVE-2024-43560:Windows Storage Port驱动本地权限提升漏洞
此漏洞是Windows Storage Port驱动中的堆溢出漏洞(CWE-122)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

  • CVE-2024-43581、CVE-2024-43615:Windows OpenSSH远程代码执行漏洞

这些漏洞都是Windows OpenSSH中的文件名或路径的外部控制漏洞(CWE-73)。成功利用这些漏洞需要攻击者能够访问目标文件运行的位置,然后植入一个特定文件,用于漏洞利用;且需要诱导受害者执行特定的文件管理操作来触发漏洞。

  • CVE-2024-43609:Microsoft Office欺骗漏洞

此漏洞是Microsoft Office中的将敏感信息暴露给未经授权的行为者漏洞(CWE-200)。未经授权的远程攻击者将一个特制文件托管在网站或服务器上,并诱导受害者单击网站链接打开该特制文件来利用此漏洞。
  • 高评分漏洞
CVE 漏洞名称 CVSS3.1
CVE-2024-43468 Microsoft Configuration Manager远程代码执行漏洞 9.8/8.5
CVE-2024-38124 Windows Netlogon权限提升漏洞 9.0/7.8
CVE-2024-43533 Remote Desktop Client远程代码执行漏洞 8.8/7.7
CVE-2024-43607 Windows路由和远程访问服务(RRAS)远程代码执行漏洞 8.8/7.7

  • CVE-2024-43468:Microsoft Configuration Manager远程代码执行漏洞

此漏洞是Microsoft Configuration Manager中的SQL注入漏洞(CWE-89)。未经身份认证的远程攻击者通过向目标环境发送特制的请求来利用此漏洞,这些请求以不安全的方式处理,从而使攻击者能够在服务器或底层数据库上执行命令。

  • CVE-2024-38124:Windows Netlogon权限提升漏洞

此漏洞是Windows Netlogon中的不正确身份认证漏洞(CWE-287)。经过身份认证的局域网攻击者需要预测新域控制器的名称,并重命名其计算机以匹配该名称;然后,他们将建立一个安全通道并保持其活动状态,同时将计算机重命名回其原始名称。一旦新的域控制器被提升,攻击者就可以使用安全通道冒充域控制器并可能危及整个域。成功利用此漏洞的攻击者可以获得域管理员权限。
  • CVE-2024-43533:Remote Desktop Client远程代码执行漏洞
此漏洞是Remote Desktop Client中的释放后重用UAF漏洞(CWE-416)。受害者使用存在漏洞的RDP客户端连接到恶意服务器时,控制远程桌面服务器的攻击者可以在RDP客户端计算机上触发远程代码执行。
  • CVE-2024-43607:Windows路由和远程访问服务(RRAS)远程代码执行漏洞
此漏洞是Windows路由和远程访问服务(RRAS)中的堆溢出漏洞(CWE-122)。未经身份认证的远程攻击者可以向路由和远程访问服务(RRAS)服务器发送特制的协议消息,这可能导致在RAS服务器上的执行任意代码。利用此漏洞需要客户端上的管理员用户连接到恶意服务器,这可能允许攻击者在客户端上执行代码。
0x02 影响版本
影响多个主流版本的Windows,多个主流版本的Microsoft系列软件。
0x03 修复建议

  • Windows自动更新

Windows系统默认启用Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”。

2、选择“更新和安全”,进入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”->“系统和安全”->“Windows更新”)。

3、选择“检查更新”,等待系统将自动检查并下载可用更新。

4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。

  • 手动安装补丁

另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的10月补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2024-Oct

0x04 声明

天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。

原文始发于微信公众号(天融信阿尔法实验室):【风险提示】天融信关于微软2024年10月安全更新的风险提示

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月9日22:46:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【风险提示】天融信关于微软2024年10月安全更新的风险提示https://cn-sec.com/archives/3246137.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息