在 2024 年 3 月星期二补丁日,微软发布了针对 59 个 CVE 编号漏洞的修复程序,目前没有一个被公众所知或被积极利用。
不过,上个月,在补丁星期二几天后,该公司更新了两个公告,称这些特定漏洞正在被利用。
其中两个漏洞之一——CVE-2024-21338,这是一个影响 Windows 内核的特权提升漏洞——已由 Avast 研究人员向微软报告,他们后来表示,在补丁发布之前的几个月里,该漏洞已被朝鲜黑客利用。微软在首次发布相关公告时显然就知道这一点,但在 Avast公开该信息后才确认存在非法利用行为。
时间会证明微软本月是否会重蹈覆辙。与此同时,管理员必须开始根据当前可用的信息确定补丁的优先级。
特别注意的漏洞
两个关键的 Windows Hyper-V 漏洞已得到修复,一个 ( CVE-2024-21407 )允许通过所谓的来宾到主机逃逸进行远程代码执行 (RCE),另一个拒绝服务 ( CVE-2024-21408))。微软没有解释为何 DoS 漏洞应被视为“严重”,但建议管理员升级运行虚拟机管理程序的 Windows 系统。
趋势科技零日计划威胁意识负责人达斯汀·蔡尔兹 (Dustin Childs) 指出,CVE-2024-26198是一个影响 Microsoft Exchange Server 的未经身份验证的 RCE 缺陷,这一点同样重要。
“这个漏洞是一个典型的 DLL 加载漏洞。攻击者将特制文件放置在他们控制的位置。然后,他们诱骗用户打开该文件,该文件会加载精心设计的 DLL 并导致代码执行,”他解释道。
该补丁通过 Microsoft Exchange Server 2016 和 2019 的累积更新提供。(Microsoft Exchange 团队指出,Exchange Online 客户已受到保护。)
CVE-2024-21400是一个影响 Azure Kubernetes 服务 (AKS) 机密容器的特权提升漏洞,可能允许未经身份验证的攻击者窃取凭据并操纵不应访问的资源。
Automox 的安全工程师马特·李 (Mat Lee) 告诉 Help Net Security:“此次泄露本质上为攻击者打开了后门,损害了机密系统的机密性和完整性。”
“此漏洞的机制涉及使用“az confcom”(一种用于与机密资源交互的 CLI 工具)来利用容器的安全边界,从而导致对敏感信息进行未经授权的访问。鉴于越来越多地采用机密容器来部署应用程序,此漏洞的潜在影响是巨大的。使用 Azure Kubernetes 服务的组织必须优先将 confcom cli 工具/插件修补到 >0.3.3,以保护其系统免受可能的破坏。”
Tenable 高级研究工程师 Satnam Narang 指出,微软在周二补丁日修复的漏洞中,只有 6 个漏洞被认为“更有可能”被利用。
“这些主要包括特权提升漏洞,包括CVE-2024-26182(Windows 内核)、CVE-2024-26170(Windows 复合图像文件系统)、CVE-2024-21437(Windows 图形组件)和CVE-2024-21433( Windows Print Spooler),我们经常看到它被作为零日漏洞利用,作为后利用活动的一部分,通常是由高级持续威胁(APT)组织利用,”他指出。
他还特别指出了CVE-2024-21390(Microsoft Authenticator 中的一个特权提升漏洞),该漏洞很有趣——尽管要利用它,攻击者必须已经在移动设备上建立了存在(通过恶意软件或恶意应用程序)。
“如果受害者关闭并重新打开 Microsoft Authenticator 应用程序,攻击者就可以获取多因素身份验证代码并修改或删除应用程序中的帐户,”他解释道。
“虽然认为利用此缺陷的可能性较小,但我们知道攻击者热衷于寻找绕过多因素身份验证的方法。访问目标设备已经够糟糕的了,因为他们可以监控击键、窃取数据并将用户重定向到网络钓鱼网站,但如果目标是保持隐秘,他们可以保持这种访问权限并窃取多因素身份验证代码,以便登录通过更改密码和更换多重身份验证设备来窃取敏感帐户、窃取数据或完全劫持帐户,从而有效地将用户锁定在其帐户之外。”
发表评论
您还未登录,请先登录。
登录