补丁概述
2024 年 11 月 12 日,微软官方发布了 11 月安全更新,针对 89 个 Microsoft CVE 和 3 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 4 个严重漏洞(Critical)、84 个重要漏洞(Important)和 1 个中危漏洞(Moderate)。从漏洞影响上看,有 51 个远程代码执行漏洞、28 个权限提升漏洞、4 个拒绝服务漏洞、3 个欺骗漏洞、2 个安全功能绕过漏洞和 1 个信息泄露漏洞。
89 个漏洞中,目前有漏洞 CVE-2024-43451、CVE-2024-49039 被发现在野利用,漏洞 CVE-2024-43451、CVE-2024-49019、CVE-2024-49040 已被公开披露,有 8 个利用可能性较大的漏洞。
本次安全更新涉及多个 Windows 主流版本,包括 Windows 10、Windows 11、Windows Server 2022、Windows Server 2025 等;涉及多款主流产品和组件,如 SQL Server、Windows 电话服务、Windows USB 视频驱动程序、Microsoft Office Excel 等。
重点关注漏洞
在野利用和公开披露漏洞
CVE | CVSS | Tag |
CVE-2024-43451 | 6.5 | Windows NTLM |
CVE-2024-49039 | 8.8 | Windows 任务计划程序 |
CVE-2024-49019 | 7.8 | Windows Active Directory 证书服务 |
CVE-2024-49040 | 7.5 | Microsoft Exchange Server |
CVE-2024-43451:NTLM 哈希泄露欺骗漏洞,已被发现在野利用并被公开披露。此漏洞向攻击者泄露用户的 NTLMv2 哈希值,攻击者可以使用该哈希值来验证用户身份,用户与恶意文件的最少交互(例如选择 / 单击、检查 / 右键单击或执行打开或运行之外的操作)都可能触发此漏洞。 CVE-2024-49039:Windows 任务计划程序特权提升漏洞,已被发现在野利用。要利用此漏洞,经过身份验证的攻击者需要在目标系统上运行特制的应用程序,利用此漏洞将其权限提升到中等完整性级别。在这种情况下,可以从低权限的 AppContainer 执行成功的攻击。攻击者可以提升权限并以比 AppContainer 执行环境更高的完整性级别执行代码或访问资源。成功利用此漏洞的攻击者可以执行仅限特权帐户的 RPC 函数。 CVE-2024-49019:Active Directory 证书服务特权提升漏洞,已被公开披露,该漏洞利用可能性较大。成功利用此漏洞的攻击者可以获得域管理员权限,如果未根据保护 PKI 的保护证书模板部分中发布的最佳实践来保护模板,则使用主题名称来源设置为“在请求中提供”的版本 1 证书模板创建的证书可能会受到攻击。 CVE-2024-49040:Microsoft Exchange Server 欺骗漏洞,已被公开披露,该漏洞利用可能性较大。该漏洞是因为 SMTP 服务器以不同的方式解析收件人地址,从而导致电子邮件的欺骗,这由当前实施的发生在传输中的 P2 FROM 标头验证引起的。
利用可能性较大的漏洞
CVE | CVSS | Tag |
CVE-2024-43623 | 7.8 | Windows NT OS 内核 |
CVE-2024-43629 | 7.8 | Microsoft DWM 核心库 |
CVE-2024-43630 | 7.8 | Windows Kernel |
CVE-2024-43636 | 7.8 | Microsoft DWM 核心库 |
CVE-2024-43642 | 7.5 | Windows SMB |
CVE-2024-49033 | 7.5 | Microsoft Office Word |
CVE-2024-43623:Windows NT OS 内核特权提升漏洞。整数溢出或环绕(CWE-190)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2024-43629:Windows DWM 核心库特权提升漏洞。不受信任的指针解引用(CWE-822)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2024-43630:Windows 内核特权提升漏洞。基于堆的缓冲区溢出(CWE-122)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2024-43636:Win32k 特权提升漏洞。不受信任的指针解引用(CWE-822)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2024-43642:Windows SMB 拒绝服务漏洞。Use-After-Free(CWE-416)缺陷,成功利用此漏洞后可导致使用 SMB 协议的系统拒绝服务。
CVE-2024-49033:Microsoft Word 安全功能绕过漏洞。此漏洞可能允许攻击者绕过 Office Protected View 的特定功能,成功利用此漏洞需要攻击者收集特定于目标组件环境的信息。利用该漏洞需要诱使用户打开特制的 Word 文件。
CVSS 3.1 Base Score高评分漏洞
CVE | CVSS | Tag |
CVE-2024-43602 | 9.9 | Azure CycleCloud |
CVE-2024-43498 | 9.8 | .NET 和 Visual Studio |
CVE-2024-43639 | 9.8 | Windows Kerberos |
CVE-2024-43602:Azure CycleCloud 远程代码执行漏洞。具有基本用户权限的攻击者可以发送特制请求来修改 Azure CycleCloud 群集的配置,以获得根级别权限,使他们能够在当前实例中的任何 Azure CycleCloud 群集上执行命令,并且在某些情况下会泄露管理员凭据。
CVE-2024-43498:.NET 和 Visual Studio 远程执行代码漏洞,被标记为严重(Critical)漏洞。未经身份验证的远程攻击者可以通过向易受攻击的 .NET Web 应用程序发送特制请求,或将特制文件加载到易受攻击的桌面应用程序来利用此漏洞。
CVE-2024-43639:Windows KDC 协议远程代码执行漏洞,被标记为严重(Critical)漏洞。未经身份验证的攻击者可以使用特制的应用程序来利用 Windows Kerberos 中的加密协议漏洞对目标执行远程代码执行。此漏洞仅影响配置为 Kerberos 密钥分发中心(KDC)代理协议服务器的 Windows 服务器,域控制器不受影响。
严重漏洞(Critical)
CVE | CVSS | Tag |
CVE-2024-43625 | 8.1 | Windows VMSwitch |
CVE-2024-49056 | 7.3 | Airlift.microsoft.com |
CVE-2024-43625:Microsoft Windows VMSwitch 特权提升漏洞。攻击者通过该漏洞从低权限的 Hyper-V Guest 执行攻击,可以穿越 Guest 的安全边界在 Hyper-V 主机执行环境上执行代码。成功利用此漏洞的攻击者可以获得 SYSTEM 权限,利用该漏洞需要攻击者收集特定于环境的信息,并在利用之前采取其他操作来准备目标环境。利用时,攻击者需要向 VMswitch 驱动程序发送一系列特定的网络请求,从而触发 Hyper-V 主机中的 Use-After-Free 漏洞。
CVE-2024-49056:Airlift.microsoft.com 特权提升漏洞。假定不可变数据绕过身份验证(CWE-302)缺陷,Microsoft 已完全缓解此漏洞,使用此服务的用户无需执行任何操作。
处置建议
根据微软官方指引,尽快下载安装补丁包进行修复,也可开启 Windows 自动更新保证补丁包的自动安装。
Microsoft 11 月安全更新指引:
https://msrc.microsoft.com/update-guide/releaseNote/2024-Nov
如有侵权请联系:admin#unsafe.sh