9月10日微軟發布本月份例行更新(Patch Tuesday),總共修補79個漏洞,較上個月略為減少。其中,有30個是權限提升漏洞、4個安全功能繞過漏洞、23個遠端程式碼執行(RCE)漏洞、11個資訊洩露漏洞、8個阻斷服務(DoS)漏洞,以及3個可被用於詐欺的漏洞。值得留意的是,這次有4個是已出現實際攻擊行動的零時差漏洞,其中1個的細節遭到公開。

這些漏洞分別是:Windows更新RCE漏洞CVE-2024-43491、MotW安全繞過漏洞CVE-2024-38217、Windows Installer權限提升漏洞CVE-2024-38014、排版軟體Publisher安全功能繞過漏洞CVE-2024-38226,CVSS風險評為介於5.4至9.8分。

不約而同地,資安業者Rapid7、漏洞懸賞專案Zero Day Initiative(ZDI)這三個單位都優先評論CVE-2024-43491,原因是令人聯想到上個月震撼整個資安界的Windows Downdate降級漏洞,但實際上兩者之間並無直接關連。

事實上,CVE-2024-43491發生在特定的服務堆疊(Service Stack)更新套件,僅影響執行Windows 10 Enterprise 2015 LTSB、Windows 10 IoT Enterprise 2015 LTSB作業系統的電腦,一旦這些電腦部署今年3月發布的KB5035858,以及到8月之前的其他更新套件,就有可能導致選用元件被降級為RTM版本,使得攻擊者能夠再度利用已經修補的漏洞。

第二個也相當值得關注的漏洞則是CVE-2024-38217,是在上個月由Elastic資安實驗室揭露,當時研究人員提及,攻擊者可使用名為LNK Stomping的攻擊手法,透過檔案總管(explorer.exe)處理程序竄改特定的LNK檔案,從而在執行智慧應用程式控制(Smart App Control,SAC)及SmartScreen掃描之前移除MotW標記。雖然這項漏洞的CVSS分數只有5.4,但研究人員根據惡意程式分析平臺VirusTotal的資料,駭客很可能在2018年就開始利用相關漏洞。

至於另外兩個零時差漏洞,微軟指出CVE-2024-38014可被用於提升至SYSTEM權限;而CVE-2024-38226則是能繞過Office封鎖惡意檔案的巨集政策,但值得留意的是,攻擊者必須通過身分驗證,而且還要存取本機才能觸發。

ZDI的分析當中,特別提及6月向微軟通報MSHTML平臺欺騙漏洞CVE-2024-43461,並表明攻擊者已積極利用於實際攻擊行動,但微軟在這次每月例行公告並未談到此事。對此,ZDI呼籲IT人員也要特別留意,因為所有版本的Windows作業系統都會受到該漏洞影響。

除了關注微軟修補的零時差漏洞,Rapid7也呼籲大家注意下列漏洞,包含:SharePoint重大層級漏洞CVE-2024-38018、CVE-2024-43464,以及NAT重大層級漏洞CVE-2024-38119,因為透過這些漏洞,攻擊者都有機會用於發動遠端執行任意程式碼攻擊。

熱門新聞

Advertisement