11月12日微软发布本月份例行更新(PatchTuesday),总共修补89个漏洞,其中有26个权限提升漏洞、2个安全功能绕过漏洞、52个远程程序代码执行(RCE)漏洞、1个人信息讯泄露漏洞、4个拒绝服务(DoS)漏洞,以及3个能被用于欺骗的漏洞。值得留意的是,本次有4个是零时差漏洞,其中2个已出现实际利用的状况。
这些漏洞分别是:NTLM散列值泄露欺骗漏洞CVE-2024-43451、AD凭证服务(ADCS)权限提升漏洞CVE-2024-49019、Windows工作调度器权限提升漏洞CVE-2024-49039、Exchange服务器欺骗漏洞CVE-2024-49040。其中,CVE-2024-43451、CVE-2024-49039已出现实际攻击行动;再者,除CVE-2024-49039,其余3个漏洞资讯皆已遭到公开。
上述零时差漏洞里,同时被用于攻击且细节已经公布的是CVE-2024-43451,特别的是,微软不仅指出所有窗口操作系统都受到影响,他们也提及这次将通过IE累积安全更新,针对Windows Server 2008及2012(含R2)修补这项漏洞。为何会提尽早已停用的IE?原因是底层的MSHTML及脚本平台仍受到支持,他们将针对这两种平台进行修补。
针对这项弱点的形态,他们表示是文件名称或路径的外部控制,CVSS风险评为6.5分,并指出根据评估,这项漏洞将有可能导致机密性完全丧失(C:H),但攻击者利用的过程需要用户互动(UI:R)。对于上述的评估内容,微软进一步做出说明,表示一旦攻击者成功利用漏洞,就有机会泄露NTLMv2散列值,并以受害者的名义进行身份验证;而对于用户互动的部分,他们则是提到用户只要与攻击者提供的恶意文件进行极少的互动,像是执行点击或是进行检查,无需打开或是执行文件就能触发漏洞。
不过,对于此弱点的其他细节,微软并未进一步说明。对此,安全企业Rapid7指出,微软的CVSS风险评估主要是针对机密性层面的影响,但若是考虑到攻击者得逞后能以受害者的身份进行身份验证所带来的危险,CVSS风险有可能大幅拉高至8.8分。这项漏洞突显IE仍存在于所有版本的Windows计算机,无论IT人员是否停用这款浏览器,只要尚未套用相关修补程序,就会面临被黑客盯上的危险。
另一个也被用于攻击的漏洞,则是CVE-2024-49039,微软指出涉及身份验证不当,CVSS风险评为8.8,攻击者若要利用,首先要通过身份验证并执行特定应用程序,而能将权限提升至中等完整性层级,并以受限的特权账号执行RPC功能。一旦攻击者能掌握AppContainer的低权限,就有机会借此提升权限,以较高的完整性层级执行程序代码,或是访问资源。
虽然微软并未说明其他细节,但漏洞悬赏项目Zero Day Initiative(ZDI)指出,这并非单纯的权限提升漏洞,而是一种容器逃逸漏洞,而这种类型的弱点被用于实际攻击的情况,并不常见。值得留意的是,他们得知有多名研究人员通报这项漏洞,代表已在多个地区出现相关的漏洞利用攻击,因此这项弱点相当值得留意。
至于已被公开的漏洞CVE-2024-49019、CVE-2024-49040,前者由安全企业TrustedSec上个月披露,并将其命名为EKUwu;后者则为研究人员Vsevolod Kokorin(Slonser)发现,并于今年5月公布细节。
值得一提的是,Rapid7与ZDI不约而同提及,重大层级漏洞CVE-2024-43498、CVE-2024-43639,也需要特别留意。前者存在于.NET 9.0,为远程程序代码执行漏洞,CVSS风险为9.8;另一个也是RCE漏洞,存在于Kerberos身份验证机制,危险程度也同样达到9.8分。Rapid7指出,利用CVE-2024-43498既不需要特殊权限也无需用户互动;ZDI则认为很快就有攻击者将这些漏洞用于实际攻击行动。
