【风险提示】天融信关于微软2024年11月安全更新的风险提示
2024-11-13 16:2:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

0x00 背景介绍


2024年11月13日,天融信阿尔法实验室监测到微软官方发布了11月安全更新。此次更新共修复89个漏洞,其中4个严重漏洞(Critical)、84个重要漏洞(Important)、1个中危漏洞(Moderate)。

本次微软安全更新涉及组件包括:Windows Package Library Manager、Microsoft Virtual Hard Drive、Windows SMBv3 Client/Server、Microsoft Windows DNS、Windows NTLM、Windows Telephony Service、Windows VMSwitch、Windows Kernel、Windows Secure Kernel Mode、Windows DWM Core Library、Windows SMB、Windows Active Directory Certificate Services、Microsoft Office Excel、Windows Win32 Kernel Subsystem等多个产品和组件。

微软本次修复中,CVE-2024-43451、CVE-2024-49039被在野利用,通告中声明CVE-2024-43623、CVE-2024-43629、CVE-2024-43630、CVE-2024-43636、CVE-2024-49019、CVE-2024-49033、CVE-2024-49040更容易被利用。
0x01 重点漏洞描述

本次微软更新中重点漏洞的信息如下所示。
  • 在野利用和公开披露漏洞

CVE漏洞名称CVSS3.1
CVE-2024-43451NTLM 哈希泄露欺骗漏洞6.5/6.0
CVE-2024-49039Windows 任务计划程序特权提升漏洞8.8/8.2
CVE-2024-49019Active Directory 证书服务特权提升漏洞7.8/6.8
CVE-2024-49040Microsoft Exchange 服务器欺骗漏洞7.5/6.7
  • CVE-2024-43451:NTLM 哈希泄露欺骗漏洞

此漏洞已发现在野利用。此漏洞会向攻击者泄露用户的 NTLMv2 哈希,攻击者可以使用它来验证用户身份,用户与恶意文件的最低限度的交互,例如选择(单击)、检查(右键单击)或执行除打开或执行之外的操作,都可能触发此漏洞。
  • CVE-2024-49039Windows 任务计划程序特权提升漏洞
此漏洞已发现在野利用。经过身份验证的攻击者需要在目标系统上运行经特殊设计的应用程序,利用此漏洞将其权限提升到中等完整性级别,在这种情况下,可以从低权限的AppContainer发起成功的攻击,攻击者可以提升其权限,以比 AppContainer 执行环境更高的完整性级别执行代码或访问资源。
  • CVE-2024-49019:Active Directory 证书服务特权提升漏洞
此漏洞已被公开披露。检查您是否发布了使用版本1证书模板创建的任何证书,其中主体名称的来源设置为“在请求中提供”,并且注册权限被授予更广泛的帐户集,例如域用户或域计算机,一个示例是内置Web 服务器模板,但由于其注册权限受限,默认情况下它不易受到攻击,成功利用此漏洞的攻击者可以获得域管理员权限。
  • CVE-2024-49040:Microsoft Exchange 服务器欺骗漏洞
此漏洞已被公开披露且利用可能性较大。该漏洞允许远程攻击者执行欺骗攻击,该漏洞的存在是由于对用户提供的数据进行了不正确的处理,远程攻击者可以欺骗 Microsoft Exchange 客户端界面的页面内容。
  • 漏洞利用可能性较大的漏洞
CVE
漏洞名称
CVSS3.1
CVE-2024-43623Windows NT 操作系统内核特权提升漏洞7.8/6.8
CVE-2024-43629Windows DWM 核心库特权提升漏洞7.8/6.8
CVE-2024-43630Windows 内核特权提升漏洞7.8/6.8
CVE-2024-43636Win32k 特权提升漏洞7.8/6.8
CVE-2024-49033Microsoft Word 安全功能绕过漏洞7.5/6.5
  • CVE-2024-43623:Windows NT 操作系统内核特权提升漏洞

此漏洞是Windows NT组件中的整数溢出漏洞(CWE-190),经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞,成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
  • CVE-2024-43629:Windows DWM 核心库特权提升漏洞

此漏洞是Windows DWM 核心库中不受信任的指针漏洞(CWE-822),经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞,成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
  • CVE-2024-43630:Windows 内核特权提升漏洞
此漏洞是Windows 内核中的堆溢出漏洞(CWE-121),经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞,成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
  • CVE-2024-43636:Win32k 特权提升漏洞

此漏洞是Win32k中不受信任的指针漏洞(CWE-822),经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞,成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
  • CVE-2024-49033:Microsoft Word 安全功能绕过漏洞

此漏洞可能允许攻击者绕过 Office Protected View 的特定功能,利用此漏洞需要用户打开特制的 Word 文件,成功利用此漏洞需要攻击者收集特定于目标组件环境的信息。
  • 高评分漏洞
CVE
漏洞名称
CVSS3.1
CVE-2024-43602Azure CycleCloud 远程代码执行漏洞9.9/8.6
CVE-2024-43639Windows Kerberos 远程代码执行漏洞9.8/8.5
CVE-2024-43498.NET 和 Visual Studio 远程代码执行漏洞9.8/8.5
  • CVE-2024-43602:Azure CycleCloud 远程代码执行漏洞

此漏洞允许具有基本用户权限的攻击者可以发送特制的请求来修改 Azure CycleCloud 群集的配置,以获得 Root 级别权限,从而使他们能够在当前实例中的任何 Azure CycleCloud 群集上执行命令,并且在某些情况下破坏管理员凭据。
  • CVE-2024-43639:Windows Kerberos 远程代码执行漏洞

此漏洞允许未经身份验证的攻击者可以使用特制的应用程序利用 Windows Kerberos 中的加密协议漏洞对目标执行远程代码执行。
  • CVE-2024-43498:.NET 和 Visual Studio 远程代码执行漏洞
未经身份验证的远程攻击者可以通过向存在漏洞的 .NET Web 应用程序发送特制的请求或将特制的文件加载到存在漏洞的桌面应用程序中来利用此漏洞。
0x02 影响版本

影响多个主流版本的Windows,多个主流版本的Microsoft系列软件。
0x03 修复建议


  • Windows自动更新

Windows系统默认启用Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”。

2、选择“更新和安全”,进入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”->“系统和安全”->“Windows更新”)。

3、选择“检查更新”,等待系统将自动检查并下载可用更新。

4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。

  • 手动安装补丁

另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的11月补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2024-Nov

0x04 声明


天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。

天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。

天融信

阿尔法实验室

长按二维码关注我们


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg3MDAzMDQxNw==&mid=2247496662&idx=1&sn=89c2e0f34e55b91c488ba8ef1c710f04&chksm=ce96bee8f9e137fe6a910b34ee7e7464717f1f770f83a47573e2e57ae1dafd85c39264fa29fa&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh