2024-08微软漏洞通告

1輩吇筷楽 · 发表于 2024-8-26 14:13:33

微软官方发布了2024年08月的安全更新。本月更新公布了185个漏洞，包含36个特权提升漏洞、30个远程执行代码漏洞、8个信息泄露漏洞、7个身份假冒漏洞、6个拒绝服务漏洞、4个安全功能绕过漏洞、1个篡改漏洞，其中9个漏洞级别为“Critical”（高危），81个为“Important”（严重）。建议用户及时更新补丁。

涉及组件

.NET and Visual Studio

Azure Connected Machine Agent

Azure CycleCloud

Azure Health Bot

Azure IoT SDK

Azure Stack

Line Printer Daemon Service (LPD)

Microsoft Bluetooth Driver

Microsoft Copilot Studio

Microsoft Dynamics

Microsoft Edge (Chromium-based)

Microsoft Local Security Authority Server (lsasrv)

Microsoft Office

Microsoft Office Excel

Microsoft Office Outlook

Microsoft Office PowerPoint

Microsoft Office Project

Microsoft Office Visio

Microsoft Streaming Service

Microsoft Teams

Microsoft WDAC OLE DB provider for SQL

Microsoft Windows DNS

Reliable Multicast Transport Driver (RMCAST)

Windows Ancillary Function Driver for WinSock

Windows App Installer

Windows Clipboard Virtual Channel Extension

Windows Cloud Files Mini Filter Driver

Windows Common Log File System Driver

Windows Compressed Folder

Windows Deployment Services

Windows DWM Core Library

Windows Initial Machine Configuration

Windows IP Routing Management Snapin

Windows Kerberos

Windows Kernel

Windows Kernel-Mode Drivers

Windows Layer-2 Bridge Network Driver

Windows Mark of the Web (MOTW)

Windows Mobile Broadband

Windows Network Address Translation (NAT)

Windows Network Virtualization

Windows NT OS Kernel

Windows NTFS

Windows Power Dependency Coordinator

Windows Print Spooler Components

Windows Resource Manager

Windows Routing and Remote Access Service (RRAS)

Windows Scripting

Windows Secure Kernel Mode

Windows Security Center

Windows SmartScreen

Windows TCP/IP

Windows Transport Security Layer (TLS)

Windows Update Stack

Windows WLAN Auto Config Service

以下漏洞需特别注意

Microsoft Project 远程执行代码漏洞

CVE-2024-38189

严重级别：严重 CVSS：8.8

被利用级别：检测到利用

此漏洞需要用户在其系统上打开恶意的Microsoft Office Project文件，在该系统中，禁用了从Internet阻止宏在Office文件中运行的策略，并且未启用VBA宏通知设置，从而允许攻击者启动远程代码执行。攻击者通常是通过电子邮件或即时消息，诱惑用户点击链接，进而打开恶意文件。

WinSock 的 Windows 辅助功能驱动程序特权提升漏洞

CVE-2024-38193

严重级别：严重 CVSS：7.8

被利用级别：检测到利用

此漏洞已经检测到在野利用，无需用户进行任何交互，即可利用易受攻击的系统进行攻击。成功利用此漏洞的攻击者可以获得 SYSTEM 权限。

Windows Power Dependency Coordinator 特权提升漏洞

CVE-2024-38107

严重级别：严重 CVSS：7.8

被利用级别：检测到利用

此漏洞已经检测到在野利用，无需用户进行任何交互，即可利用易受攻击的系统进行攻击。成功利用此漏洞的攻击者可以获得 SYSTEM 权限。

脚本引擎内存损坏漏洞

CVE-2024-38178

严重级别：严重 CVSS：7.5

被利用级别：检测到利用

此漏洞已经检测到在野利用，需要经过身份验证的客户端单击链接，才能使未经身份验证的攻击者启动远程代码执行。

Windows Web 查询标记安全功能绕过漏洞

CVE-2024-38213

严重级别：中等 CVSS：6.5

被利用级别：检测到利用

此漏洞已经检测到在野利用，攻击者需要向用户发送恶意文件并说服用户打开文件，才能利用此漏洞。成功利用此漏洞的攻击者可以绕过 SmartScreen 提供的安全检查。

完整微软通告：

https://msrc.microsoft.com/update-guide/en-us/releaseNote/2024-Aug

1輩吇筷楽 · 发表于 2024-8-26 14:21:05

Microsoft 在补丁星期二更新中披露了 10 个零日漏洞

攻击者正在积极利用 Microsoft 在其 8 月份的安全更新中披露的 90 个漏洞中的多达 6 个漏洞，使它们成为管理员在本周二补丁中的首要任务。

Microsoft 更新中的另外四个 CVE 在 8 月 13 日披露之前就已公开，这也使它们成为某种零日漏洞，尽管攻击者尚未开始利用它们。其中，Windows 更新堆栈中的特权提升（EoP）错误（被跟踪为 CVE-2024-38202）尤其令人不安，因为 Microsoft 还没有针对它的补丁。

未打补丁的零日漏洞

据Microsoft称，未修补的漏洞允许具有“基本用户权限”的攻击者重新引入以前缓解的漏洞或规避基于虚拟化的安全性（VBS）的某些功能。该公司已将该漏洞评估为仅具有中等严重性，因为攻击者需要欺骗具有委托权限的管理员或用户执行系统还原。

然而，Tenable 的研究工程师 Scott Caveza 表示，如果攻击者将 CVE-2024-38202 与 CVE-2024-21302（当前更新中影响 Windows 安全内核的 EoP 漏洞）链接起来，他们将能够回滚软件更新，而无需与特权用户进行任何交互。“根据 Microsoft 的说法，CVE-2024-38202 确实需要’特权用户的额外交互’，”他说。“但是，CVE-2024-21302 的链接允许攻击者降级或回滚软件版本，而无需与具有提升权限的受害者进行交互。”

Caveza说，每个漏洞都可以单独利用，但当它们结合起来时，可能会产生更重大的影响。

总的来说，Microsoft本周披露的七个错误被评为严重错误。该公司将79个CVE（包括攻击者正在积极利用的零日漏洞）评为“重要”或中等严重性，因为它们涉及一定程度的用户交互或攻击者可以利用的其他要求。“虽然这不是最大的版本，但在一个版本中看到如此多的错误被列为公开或受到积极攻击是不寻常的，”趋势微零日计划（ZDI）的威胁意识主管Dustin Childs在一篇博客文章中说。

被积极利用的零日漏洞

其中两个受到主动攻击的漏洞可在受影响的系统上启用远程代码执行（RCE）。其中一个 CVE-2024-38189 会影响 Microsoft Project 远程代码，并影响在其系统上禁用 VBA 宏通知设置的组织。在这些情况下，如果攻击者能够诱使用户打开恶意的 Microsoft Office Project 文件，则他们可以远程执行任意代码。“在 Project 中看到代码执行错误肯定很奇怪，但我们这里不仅有一个，而且它在野外被利用，”Childs 说。“在大多数情况下，这是典型的开放式错误，但在这种情况下，目标允许宏从 Internet 运行。”

Microsoft 最新更新中的另一个零日随机化漏洞是 CVE-2024-38178，这是 Windows 脚本引擎内存或脚本主机中的内存损坏漏洞。“成功利用此漏洞需要攻击者首先准备目标，以便它在Internet Explorer模式下使用Edge：用户必须单击特别构建的URL才能受到攻击，”Microsoft说。

Immersive Labs威胁研究高级主管Kev Breen表示，虽然IE目前不是大多数用户的默认模式，但攻击者正在积极利用该漏洞的事实表明，有些组织正在使用这种配置。Breen在一份电子邮件声明中说：“Internet Explorer模式用于专门为Internet Explorer构建的旧网站或应用程序，并且不受现代HTML5浏览器（如基于Chromium的浏览器）的支持。“对于这些站点和应用程序，组织或用户可以启用此传统模式以保持与这些应用程序的兼容性”，因此可能会因新披露的漏洞而面临风险。

攻击者正在积极利用的此更新中的三个零日漏洞（CVE-2024-38106、CVE-2024-38107 和 CVE-2024-38193）使攻击能够将权限提升到系统管理员状态。

其中，CVE-2024-38106 尤为严重，因为它存在于 Windows 内核中。Action 1 总裁兼首席执行官 Mike Walters 在电子邮件评论中表示：“CVE-2024-38106 的根本问题源于竞争条件与 Windows 内核中不正确的内存处理相结合。如果攻击者可以通过精确的时机赢得竞争条件，“那么应该保护在锁定内存中的敏感数据在可访问和可修改的区域中却容易受到攻击。

Windows 电源依赖项中的 CVE-2024-38107 和 WinSock 的 Windows 辅助功能驱动程序中的 CVE-2024-38193 也使攻击者能够获得系统级权限。Breen说，这三个EoP缺陷会影响操作系统的不同核心组件。“攻击者已经需要在受害者机器上获得代码执行，无论是通过横向移动还是其他漏洞，例如恶意文档，”才能利用这些漏洞。

另一个被积极利用的零日漏洞是 CVE-2024-38213，该漏洞允许攻击者绕过 Windows 网页标记（MoTW）安全保护。该漏洞类似于 MoTW 中的其他类似漏洞，并为攻击者提供了一种将恶意文件和 Web 内容潜入企业环境的方法，而不会将它们标记为不受信任。“这个漏洞本身是不可利用的，”Breen说，“通常被视为漏洞利用链的一部分，例如，在通过电子邮件发送文件或在受感染的网站上分发之前，修改恶意文档或exe文件以包含此绕过。