微軟發布11月例行更新，修補4個零時差漏洞，其中2個已被用於實際攻擊

11月12日微軟發布本月份例行更新（Patch Tuesday），總共修補89個漏洞，其中有26個權限提升漏洞、2個安全功能繞過漏洞、52個遠端程式碼執行（RCE）漏洞、1個資訊洩露漏洞、4個阻斷服務（DoS）漏洞，以及3個能被用於欺騙的漏洞。值得留意的是，本次有4個是零時差漏洞，這裡面有2個已出現實際利用的狀況。

4個零時差漏洞分別是：NTLM雜湊值洩露欺騙漏洞CVE-2024-43451、AD憑證服務（ADCS）權限提升漏洞CVE-2024-49019、Windows工作排程器權限提升漏洞CVE-2024-49039、Exchange伺服器欺騙漏洞CVE-2024-49040。其中，CVE-2024-43451、CVE-2024-49039已出現實際攻擊行動；在此同時，除了CVE-2024-49039是現在揭露，其餘3個漏洞資訊皆已遭到公開。

上述零時差漏洞裡，CVE-2024-43451的狀況最需要關注，因為它已用於攻擊且細節也提前遭到公布，特別的是，微軟不僅指出所有視窗作業系統都受到影響，他們也提及這次將透過IE累積安全更新，針對Windows Server 2008及2012（含R2）修補這項漏洞。為何會提及早已停用的IE？原因是底層的MSHTML及指令碼平臺，微軟目前仍提供支援，將進行修補。

關於CVE-2024-43451的成因，微軟表示問題在於檔案名稱或路徑的外部控制，CVSS風險評為6.5分，也提到此漏洞可能導致機密性完全喪失（C:H），但攻擊者利用的過程需要使用者互動（UI:R）。對於上述的評估內容，微軟在這漏洞的安全性更新指引網頁提出解釋，他們認為一旦攻擊者成功利用漏洞，就有機會洩露NTLMv2雜湊值，並以受害者的名義進行身分驗證；而對於使用者互動的部分，他們則是提到使用者只要與攻擊者提供的惡意檔案進行極少的互動，像是執行點選或是進行檢查，無須開啟或是執行檔案就能觸發漏洞。

不過，對於此弱點的其他細節，微軟並未進一步說明。對此，資安業者Rapid7指出，微軟的CVSS風險評估主要是針對機密性層面的影響，但若考慮到攻擊者得逞後能以冒用受害者身分而產生的危險，CVSS風險可能大幅拉高至8.8分。這項漏洞也突顯IE仍存在所有版本Windows系統的風險，無論IT人員是否停用這款瀏覽器，只要尚未套用相關修補程式，就會面臨被駭客盯上的危險。

另一個也被用於攻擊的漏洞，則是CVE-2024-49039，微軟指出涉及身分驗證不當，CVSS風險評為8.8，攻擊者若要利用，首先要通過身分驗證並執行特製應用程式，而能將權限提升至中等完整性層級，並以受限的特權帳號執行RPC功能。一旦攻擊者能掌握AppContainer的低權限，就有機會藉此提升權限，以較高的完整性層級執行程式碼，或是存取資源。

雖然微軟並未說明其他細節，但漏洞懸賞專案Zero Day Initiative（ZDI）指出，這並非單純的權限提升漏洞，而是一種容器逃逸漏洞，而這種類型的弱點被用於實際攻擊的情況，並不常見。值得留意的是，他們得知有多名研究人員通報這項漏洞，代表已在多個地區出現相關的漏洞利用攻擊，因此這項弱點相當值得留意。

至於已被公開的漏洞CVE-2024-49019、CVE-2024-49040，前者由資安業者TrustedSec上個月揭露，並將其命名為EKUwu；後者則為研究人員Vsevolod Kokorin（Slonser）發現，並於今年5月公布細節。

值得一提的是，Rapid7與ZDI不約而同提及，重大層級漏洞CVE-2024-43498、CVE-2024-43639，也需要特別留意。前者存在於.NET 9.0，為遠端程式碼執行漏洞，CVSS風險為9.8；另一個也是RCE漏洞，存在於Kerberos身分驗證機制，危險程度也同樣達到9.8分。Rapid7指出，利用CVE-2024-43498既不需要特殊權限也無須使用者互動；ZDI則認為很快就有攻擊者將這些漏洞用於實際攻擊行動。