微软发布了最新的补丁星期二更新,解决了各种产品和服务中的大量漏洞。 2024 年 4 月星期二的 Microsoft 补丁总共包含 147 个新的 Microsoft CVE,与前几个月相比显着增加。
微软连续第二个月强调,此前没有公开披露过此更新中解决的任何漏洞,也没有被利用的情况。但值得注意的是,在首次发布后,Microsoft 更新了CVE-2024-26234的通报,以承认该漏洞的野外利用和公开披露。
在已解决的漏洞中,根据 Microsoft 专有的严重程度等级,只有三个漏洞被列为严重漏洞。值得注意的是,本月有五个浏览器漏洞单独发布,并未包含在总数中。
Microsoft 2024 年 4 月星期二补丁:所有主要漏洞和修复
此补丁星期二版本优先考虑缓解关键漏洞,强调用户立即安装所提供补丁的紧迫性。从漏洞总数来看, 所解决问题的严重性需要立即关注并采取行动。
在与 TCE 的对话中,Tenable 的高级研究工程师Satnam Narang分享了对今年补丁星期二中报告的 CVE 的见解。在谈到 CVE 总数的增长时,Narang 表示:“微软在 4 月份修补了 147 个 CVE,这是自我们 2017 年开始跟踪该数据以来一个月内修补的 CVE 数量最多的一次。上一次修补的 CVE 数量超过 100 个是在2023 年 10 月,微软解决了 103 个 CVE。
在谈到 Windows 安全启动 (CVE-2023-24932) 时,Narang 表示,该漏洞“具有显着影响,因为它在野外被利用并与 BlackLotus UEFI bootkit 相关联,该启动包在暗网论坛上以 5,000 美元的价格出售。”该 bootkit 能够绕过安全启动,该功能旨在防止恶意软件在启动过程中加载。
此外,自 2024 年以来,只有两个零日漏洞被利用,与去年同期的 7 个相比大幅减少。这种下降背后的原因尚不清楚,引发了对攻击者策略和可见性问题的猜测。此外,本月的版本还解决了 Windows 安全启动中的 24 个漏洞,其中大多数被认为“利用的可能性较小”。
Windows 代理驱动程序漏洞:CVE-2024-26234
CVE-2024-26234 是 Windows 代理驱动程序中的一个零日欺骗漏洞,最初是在 Microsoft 未承认野外利用或公开利用披露的情况下披露的。
然而,微软后来在发布的同一天更新了该通报,以识别这两个实例。该通报缺乏有关该漏洞的详细信息,但强调它是一个代理欺骗漏洞。
支持的 Windows 版本的补丁可以解决此问题。
Defender for IoT 关键 RCE 漏洞:CVE-2024-21322、CVE-2024-21323 和 CVE-2024-29053
Microsoft Defender for IoT 解决了三个关键的远程代码执行 (RCE) 漏洞。 CVE-2024-21322 的通报提到,利用该漏洞需要对 Web 应用程序进行现有管理访问,从而限制了攻击者的孤立价值。
CVE-2024-21323 涉及基于更新的攻击,需要事先进行身份验证,这可能会导致安装恶意更新包。 CVE-2024-29053 利用路径遍历漏洞,允许经过身份验证的用户上传任意文件。
Defender for IoT 24.1.3 的发行说明省略了这些安全修复程序,强调了及时修补的重要性。
SharePoint XSS 欺骗:CVE-2024-26251
SharePoint Server 2016、2019 和订阅版本已针对 CVE-2024-26251 进行了修补,解决了利用跨站点脚本 (XSS) 的欺骗漏洞。
虽然 Microsoft 拥有成熟的漏洞利用代码,但由于需要满足多种条件(包括用户操作、令牌模拟和特定应用程序配置),因此被认为不太可能被利用。
Excel 任意文件执行:CVE-2024-26257
Microsoft 解决了单个 Office 漏洞 CVE-2024-26257,该漏洞暴露了Excel 中的远程代码执行 (RCE)风险。利用该漏洞需要用户打开特制的恶意文件。
立即修补程序可用于基于 Windows 的即点即用 (C2R) Office 部署和 Microsoft 365 企业应用版。
然而,正如常见的那样,Office for Mac 的补丁目前不可用,并将在未指定的未来日期发布。
SQL Server OLE DB 驱动程序 RCE
Microsoft OLE DB Driver for SQL Server 收到了针对 38 个独立远程代码执行 (RCE) 漏洞的补丁,这可能创下单个组件的记录。
这些漏洞有一个共同的主题:攻击者可以通过欺骗用户连接到恶意SQL 服务器来利用它们,从而导致在客户端上下文中执行代码。
Microsoft 补丁 2024 年 4 月星期二:增强功能和生命周期更新
Microsoft 通过在公告中引入两个新数据点来提高漏洞报告的透明度:常见弱点枚举 (CWE)和向量字符串源评估。这一转变旨在更清晰地了解所解决漏洞的性质和来源。
通过采用 CWE 作为 Microsoft CVE 的标准,该公司旨在促进有关查找和减轻软件和硬件弱点的更有效讨论。该计划与 Microsoft 的安全未来计划 (SFI) 目标相一致,并强调系统了解和缓解漏洞的重要性。
此外,包括 Azure DevOps Server 2019、System Center 2019 和 Visual Studio 2019 在内的多个微软产品已经结束了主流支持,这凸显了用户需要升级到受支持的版本以获得持续的安全更新和支持。
其他值得注意的漏洞
除了上述漏洞外,微软 2024 年 4 月星期二补丁还修复了其他关键漏洞,包括此前传闻会被利用的漏洞。 Windows DNS 服务器远程代码执行漏洞、SmartScreen 提示安全功能绕过漏洞和 Windows 欺骗漏洞是今年微软补丁星期二的一些主要亮点。
CVE-2024-26221
CVE-2024-26221 是一个 Windows DNS 服务器远程代码执行漏洞。当攻击者拥有查询服务器的必要权限时,此漏洞允许在受影响的 DNS 服务器上远程执行代码。
成功利用依赖于DNS 查询的精确计时,允许攻击者在目标服务器上执行任意代码。虽然没有明确说明,但代码执行可能发生在 DNS 服务的提升级别上。
CVE-2024-20670
Outlook for Windows 欺骗漏洞被归类为欺骗错误,但其利用会导致信息泄露,特别是 NTLM 哈希。此信息可用于欺骗目标用户。
此漏洞的激活需要用户交互,例如单击电子邮件元素,并且预览窗格被视为安全。
鉴于 Outlook 拥有广泛的用户群,威胁行为者将来可能会针对此漏洞,特别是考虑到最近的 NTLM 中继错误。
CVE-2024-20678
远程过程调用 (RPC) 运行时远程代码执行漏洞由于在野外观察到 RPC 漏洞的历史悠久而引起人们的关注。
尽管身份验证是必要的,但不需要提升权限,从而允许任何经过身份验证的用户利用它。 然而,目前尚不清楚访客或匿名用户是否可以触发此漏洞。
大约有 130 万个 TCP 端口 135 暴露在互联网上的系统可能面临攻击。
CVE-2024-29988
CVE-2024-29988 被确定为 SmartScreen 提示安全功能绕过漏洞,它是由 ZDI 威胁研究人员在野外发现的一个特殊案例,尽管 Microsoft 并未将其列为已利用的漏洞。
该漏洞类似于 CVE-2024-21412,绕过 Web 标记 (MotW) 功能以在系统上执行恶意软件。威胁行为者通过在压缩文件中分发漏洞来利用此漏洞,以逃避EDR/NDR 系统的检测,利用此错误绕过 MotW 限制。
非 Microsoft CVE
Microsoft 正在重新发布六个非 Microsoft CVE,它们最初是由不同的实体发布的。其中包括来自 Intel Corporation 的 CVE-2022-0001 以及来自 Lenovo 的与 Windows 安全启动相关的三个 CVE:CVE-2024-23593 和 CVE-2024-23594。
| Intel Corporation | Intel | CVE-2022-0001 |
| Lenovo | Windows Secure Boot | CVE-2024-23593 |
| Lenovo | Windows Secure Boot | CVE-2024-23594 |
| Chrome | Microsoft Edge (Chromium-based) | CVE-2024-3156 |
| Chrome | Microsoft Edge (Chromium-based) | CVE-2024-3158 |
| Chrome | Microsoft Edge (Chromium-based) | CVE-2024-3159 |
发表评论
您还未登录,请先登录。
登录