2024年12月微软补丁日多个高危漏洞安全风险通告

近日，嘉诚安全监测到Microsoft官方发布了12月份的安全更新公告，共修复了72个漏洞，修复了Windows通用日志文件系统、Windows轻量级目录访问协议(LDAP)、Windows远程桌面服务等产品中的漏洞。

鉴于漏洞危害较大，嘉诚安全提醒广大Microsoft用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

经研判以下漏洞影响较大

1、CVE-2024-49138

Windows通用日志文件系统驱动程序权限提升漏洞，已发现被在野利用。该漏洞是由于Windows Common Log File System驱动中的边界错误导致的堆缓冲区溢出，本地用户可以利用此漏洞执行任意代码并获得SYSTEM权限。

2、CVE-2024-49122

Microsoft消息队列(MSMQ)远程代码执行漏洞，这是一个Use-after-free漏洞，存在于Microsoft Message Queuing(MSMQ)中。远程攻击者可以利用这个漏洞赢得竞争条件，并在目标系统上执行任意代码。

3、CVE-2024-49105

远程桌面客户端远程代码执行漏洞，这个漏洞的存在是由于Remote Desktop Client中的不当访问控制，导致远程攻击者可以利用该漏洞执行任意代码。

4、CVE-2024-49124

轻量级目录访问协议(LDAP)客户端远程代码执行漏洞，该漏洞是由于在处理LDAP请求时存在一个竞争条件，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

5、CVE-2024-49127

Windows轻量级目录访问协议(LDAP)远程代码执行漏洞，该漏洞是由于LDAP客户端在处理请求时存在Use After Free错误，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

6、CVE-2024-49118

Microsoft消息队列(MSMQ)远程代码执行漏洞，该漏洞是由于MSMQ在处理消息队列时存在Use After Free错误，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

7、CVE-2024-49123

Windows远程桌面服务远程代码执行漏洞，该漏洞是由于Windows Remote Desktop Services在处理远程会话时存在敏感数据存储在未正确锁定的内存中，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

8、CVE-2024-49116、CVE-2024-49132、CVE-2024-49120

Windows远程桌面服务远程代码执行漏洞，该漏洞是由于Remote Desktop Services在处理远程会话时存在Use After Free错误，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

9、CVE-2024-49112

Windows轻量级目录访问协议(LDAP)远程代码执行漏洞，该漏洞是由于整数溢出或回绕导致的，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

10、CVE-2024-49119

Windows远程桌面服务远程代码执行漏洞，该漏洞是由于Remote Desktop Services使用不兼容类型访问资源导致的，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

11、CVE-2024-49108、CVE-2024-49128

Windows远程桌面服务远程代码执行漏洞，该漏洞涉及两个问题类型：敏感数据存储在未正确锁定的内存中以及Use After Free。这些问题可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

12、CVE-2024-49126

Windows本地安全机构子系统服务(LSASS)远程代码执行漏洞，该漏洞是由于Windows Local Security Authority Subsystem Service(LSASS)在处理安全验证时存在Use After Free错误以及敏感数据存储在未正确锁定的内存中，导致远程代码执行。攻击者可以利用这些漏洞在目标系统上远程执行任意代码，从而完全控制系统。

13、CVE-2024-49106、CVE-2024-49115

Windows远程桌面服务远程代码执行漏洞，该漏洞是由于Windows Remote Desktop Services在处理远程会话时存在Use After Free错误以及涉及敏感数据存储在未正确锁定的内存中，导致远程代码执行。攻击者可以利用这些漏洞在目标系统上远程执行任意代码，从而完全控制系统。

14、CVE-2024-49117

Windows Hyper-V远程代码执行漏洞，Windows Hyper-V在处理虚拟机操作时返回错误的状态码，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

15、CVE-2024-49114

Windows Cloud Files Mini Filter Driver权限提升漏洞，该漏洞是由于Windows Cloud Files Mini Filter Driver缺乏适当的同步，这可能导致权限提升。攻击者可以利用这个漏洞提升权限，从而在系统上执行更高权限级别的操作。

16、CVE-2024-49088

Windows通用日志文件系统驱动程序权限提升漏洞，该漏洞是由于Windows Common Log File System Driver存在缓冲区过度读取（CWE-126）错误，这可能导致权限提升。攻击者可以利用这个漏洞提升权限，从而在系统上执行更高权限级别的操作。

17、CVE-2024-49090

Windows通用日志文件系统驱动程序权限提升漏洞，该漏洞是由于Windows Common Log File System Driver存在不信任的指针解引用（CWE-822）错误，这可能导致权限提升。攻击者可以利用这个漏洞提升权限，从而在系统上执行更高权限级别的操作。

18、CVE-2024-49093

Windows Resilient文件系统(ReFS)权限提升漏洞，该漏洞是由于Windows Resilient File System(ReFS)在处理文件系统操作时存在数值类型转换错误（CWE-681），这可能导致权限提升。攻击者可以利用这个漏洞提升权限，从而在系统上执行更高权限级别的操作。

19、CVE-2024-49070

Microsoft SharePoint远程代码执行漏洞，该漏洞是由于Microsoft SharePoint在处理数据反序列化时存在不信任数据的反序列化（CWE-502）错误，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

受影响的产品/功能/服务/组件包括：

.NET

Azure Automation

Azure Automation Update Management

Azure Data Studio

Azure SDK

Azure Security Center

Azure Sentinel

Container Monitoring Solution

Intune Company Portal for Android

Log Analytics Agent

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft Authenticator

Microsoft Azure Kubernetes

Microsoft Dynamics 365 (on-premises) version 9.1

Microsoft Edge (Chromium-based)

Microsoft Outlook for Android

Microsoft SharePoint Enterprise Server 2016

Microsoft SharePoint Server 2019

Microsoft SharePoint Server Subscription Edition

Microsoft Teams for Android

System Center Operations Manager (SCOM) 2019

System Center Operations Manager (SCOM) 2022

Visual Studio Code

Windows 11 Version 21H2

Windows 11 Version 22H2

Windows Defender Antimalware Platform

Windows Hyper-V

Windows Kerberos

Windows Server 2022

目前微软已发布相关安全更新，鉴于漏洞的严重性，建议受影响的用户尽快修复。

一）Windows自动更新

Windows系统默认启用 Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1.点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2.选择“更新和安全”，进入“Windows更新”（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”-> “系统和安全”->“Windows更新”）。

3.选择“检查更新”，等待系统自动检查并下载可用更新。

4.重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

二）手动安装补丁

另外，对于不能自动更新的系统版本，官方已发布升级补丁以修复漏洞，补丁获取链接：

https://msrc.microsoft.com/update-guide/releaseNote/2024-Dec