11月12日微軟發布本月份例行更新(Patch Tuesday),總共修補89個漏洞,其中有26個權限提升漏洞、2個安全功能繞過漏洞、52個遠端程式碼執行(RCE)漏洞、1個資訊洩露漏洞、4個阻斷服務(DoS)漏洞,以及3個能被用於欺騙的漏洞。值得留意的是,本次有4個是零時差漏洞,這裡面有2個已出現實際利用的狀況。
4個零時差漏洞分別是:NTLM雜湊值洩露欺騙漏洞CVE-2024-43451、AD憑證服務(ADCS)權限提升漏洞CVE-2024-49019、Windows工作排程器權限提升漏洞CVE-2024-49039、Exchange伺服器欺騙漏洞CVE-2024-49040。其中,CVE-2024-43451、CVE-2024-49039已出現實際攻擊行動;在此同時,除了CVE-2024-49039是現在揭露,其餘3個漏洞資訊皆已遭到公開。
上述零時差漏洞裡,CVE-2024-43451的狀況最需要關注,因為它已用於攻擊且細節也提前遭到公布,特別的是,微軟不僅指出所有視窗作業系統都受到影響,他們也提及這次將透過IE累積安全更新,針對Windows Server 2008及2012(含R2)修補這項漏洞。為何會提及早已停用的IE?原因是底層的MSHTML及指令碼平臺,微軟目前仍提供支援,將進行修補。
關於CVE-2024-43451的成因,微軟表示問題在於檔案名稱或路徑的外部控制,CVSS風險評為6.5分,也提到此漏洞可能導致機密性完全喪失(C:H),但攻擊者利用的過程需要使用者互動(UI:R)。對於上述的評估內容,微軟在這漏洞的安全性更新指引網頁提出解釋,他們認為一旦攻擊者成功利用漏洞,就有機會洩露NTLMv2雜湊值,並以受害者的名義進行身分驗證;而對於使用者互動的部分,他們則是提到使用者只要與攻擊者提供的惡意檔案進行極少的互動,像是執行點選或是進行檢查,無須開啟或是執行檔案就能觸發漏洞。
不過,對於此弱點的其他細節,微軟並未進一步說明。對此,資安業者Rapid7指出,微軟的CVSS風險評估主要是針對機密性層面的影響,但若考慮到攻擊者得逞後能以冒用受害者身分而產生的危險,CVSS風險可能大幅拉高至8.8分。這項漏洞也突顯IE仍存在所有版本Windows系統的風險,無論IT人員是否停用這款瀏覽器,只要尚未套用相關修補程式,就會面臨被駭客盯上的危險。
另一個也被用於攻擊的漏洞,則是CVE-2024-49039,微軟指出涉及身分驗證不當,CVSS風險評為8.8,攻擊者若要利用,首先要通過身分驗證並執行特製應用程式,而能將權限提升至中等完整性層級,並以受限的特權帳號執行RPC功能。一旦攻擊者能掌握AppContainer的低權限,就有機會藉此提升權限,以較高的完整性層級執行程式碼,或是存取資源。
雖然微軟並未說明其他細節,但漏洞懸賞專案Zero Day Initiative(ZDI)指出,這並非單純的權限提升漏洞,而是一種容器逃逸漏洞,而這種類型的弱點被用於實際攻擊的情況,並不常見。值得留意的是,他們得知有多名研究人員通報這項漏洞,代表已在多個地區出現相關的漏洞利用攻擊,因此這項弱點相當值得留意。
至於已被公開的漏洞CVE-2024-49019、CVE-2024-49040,前者由資安業者TrustedSec上個月揭露,並將其命名為EKUwu;後者則為研究人員Vsevolod Kokorin(Slonser)發現,並於今年5月公布細節。
值得一提的是,Rapid7與ZDI不約而同提及,重大層級漏洞CVE-2024-43498、CVE-2024-43639,也需要特別留意。前者存在於.NET 9.0,為遠端程式碼執行漏洞,CVSS風險為9.8;另一個也是RCE漏洞,存在於Kerberos身分驗證機制,危險程度也同樣達到9.8分。Rapid7指出,利用CVE-2024-43498既不需要特殊權限也無須使用者互動;ZDI則認為很快就有攻擊者將這些漏洞用於實際攻擊行動。
熱門新聞
2024-11-29
2024-12-19
2024-11-20
2024-11-15
2024-11-15