在 2024 年 4 月的星期二补丁中,微软修复了创纪录的 147 个 CVE 编号漏洞,其中包括 CVE-2024-29988,微软尚未将这一漏洞标记为已利用,但趋势科技零日计划高级威胁研究员 Peter Girnus( ZDI),已发现被攻击者利用。
ZDI 威胁意识主管达斯汀·蔡尔兹 (Dustin Childs) 指出:“威胁行为者通过压缩文件发送漏洞来逃避 EDR/NDR 检测,然后利用此漏洞(以及其他漏洞)绕过 MotW。”
Google 威胁分析小组的 Dmitrij Lenz 和 Vlad Stolyarov 也报告了 CVE-2024-29988,这意味着尽管 Microsoft 尚未承认,但很可能会被主动利用。
Tenable 高级研究工程师 Satnam Narang 表示:“CVE-2024-29988 归功于一些研究人员,他们在 2 月份披露了类似缺陷 (CVE-2024-21412),该缺陷被用作零日漏洞。”
“通过需要某种类型的用户交互的直接手段(电子邮件和直接消息)进行社会工程是利用此类缺陷的典型途径。 CVE-2024-21412 被用作 DarkGate 活动的一部分,该活动利用假冒软件安装程序来冒充 Apple 的 iTunes、Notion、NVIDIA 等。”
其他值得注意的漏洞
Childs 敦促运行 Windows DNS 服务器的用户尽快部署针对七个远程代码执行缺陷(CVE-2024-26221-CVE-2024-26224、CVE-2024-26227、CVE-2024-26231 和 CVE-2024-26233)的补丁。后来,尽管成功利用涉及时间因素。
Microsoft 修复了 24 个漏洞,这些漏洞可能允许攻击者绕过 Windows 安全启动,这是一项旨在防止 PC 启动时加载恶意软件的安全功能。
Narang 指出,尽管微软认为他们的利用“不太可能”,但微软上次于2023 年 5 月修补 Windows 安全启动 (CVE-2023-24932) 中的缺陷产生了显着影响,因为该漏洞被广泛利用并与BlackLotus UEFI 启动套件。
“该补丁修复了[安全启动]错误,但默认情况下并未启用保护,”Childs补充道。用户应查阅本文档并启用它们。
他还特别指出了CVE-2024-20678(远程过程调用 (RCP) 运行时中的一个经过身份验证的 RCE 漏洞)和CVE-2024-20670(一个 Outlook for Windows 漏洞,可能允许攻击者获取用户的 NTLM(身份验证)哈希值):未来几个月可能会成为攻击者的目标,因此应该迅速修补。
最后,针对几个关键且重要的 Microsoft Defender for IoT 错误以及 Azure AI 搜索 ( CVE-2024-29063 ) 中的一个有趣的信息泄露错误提供了补丁,该错误可能允许攻击者获取敏感的 API 密钥。
“Azure AI 搜索后端基础设施的最新更新已缓解了该漏洞。需要轮换特定凭据的客户已通过 TrackingID 下的 Azure 服务运行状况警报收到通知:WL1G-3TZ,”微软表示。 “没有收到此 Azure 服务运行状况警报的客户不需要采取任何措施来防范此漏洞。”
防御者应该优先修复 EoP 缺陷吗?
Narang 评论道,就零日漏洞而言,2024 年是异常平静的一年。
“很难确定为什么我们会看到这种下降,无论是因为缺乏可见性,还是表明攻击者利用已知漏洞作为对组织的攻击的一部分,”他评论道。
SonicWall Capture Labs 最近指出的另一件有趣的事情是,尽管 RCE 漏洞越来越受到防御者的关注,但到 2023 年,攻击者利用 Microsoft 特权提升 (EoP) 零日漏洞的频率比 RCE 更高。
研究人员指出:“我们发现,攻击者在初次进入时更喜欢网络钓鱼,而不是针对 Microsoft 的特定漏洞,随后又倾向于利用 Microsoft 的特权漏洞来增强访问权限。”
此外,在 2023 年补丁星期二之后,CISA 仅在其已知的可利用漏洞目录中添加了四个 Microsoft 漏洞(除了被利用的零日漏洞):三个 EoP 和一个安全功能绕过。
SonicWall 指出:“在考虑这两个数据点时,可以合理地得出这样的结论:对于查看大量 Microsoft 漏洞的组织来说,特权提升类别在优先级排序中应比可利用索引或其他类型的漏洞具有更大的权重。”出去。
“虽然特权提升漏洞可以获得较低的 CVSS 和可利用概率分数,但它们通常对威胁参与者最具吸引力,因为它们填补了攻击手册中的关键空白。”
发表评论
您还未登录,请先登录。
登录