补丁概述
2024 年 10 月 8 日,微软官方发布了 10 月安全更新,针对 117 个 Microsoft CVE 和 4 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 3 个严重漏洞(Critical)、113 个重要漏洞(Important)和 1 个中危漏洞(Moderate)。从漏洞影响上看,有 42 个远程代码执行漏洞、28 个权限提升漏洞、26 个拒绝服务漏洞、7 个安全功能绕过漏洞、7 个欺骗漏洞、6 个信息泄露漏洞和 1 个篡改漏洞。
117 个漏洞中,目前有漏洞 CVE-2024-43572、CVE-2024-43573 被发现在野利用,漏洞 CVE-2024-43572、CVE-2024-43573、CVE-2024-43583、CVE-2024-20659 已被公开披露,有 8 个利用可能性较大的漏洞。
本次安全更新涉及多个 Windows 主流版本,包括 Windows 10、Windows 11、Windows Server 2022 等;涉及多款主流产品和组件,如 Windows 移动宽带、Windows 路由和远程访问服务(RRAS)、Windows Kernel、Windows Hyper-V 等。
重点关注漏洞
在野利用和公开披露漏洞
CVE | CVSS | Tag |
CVE-2024-43572 | 7.8 | Microsoft 管理控制台 |
CVE-2024-43573 | 6.5 | Windows MSHTML 平台 |
CVE-2024-43583 | 7.8 | Winlogon |
CVE-2024-20659 | 7.1 | Role: Windows Hyper-V |
CVE-2024-43572:Microsoft 管理控制台远程代码执行漏洞,已被发现在野利用并被公开披露。此缺陷允许恶意 Microsoft Saved Console(MSC)文件在易受攻击的设备上执行远程代码。 CVE-2024-43573:Windows MSHTML 平台欺骗漏洞,已被发现在野利用并被公开披露。Web页面生成时对输入的不恰当转义处理的缺陷(CWE-79),MSHTML 平台以前由 Internet Explorer 和旧版 Microsoft Edge 使用,其组件仍然安装在 Windows 中,微软建议安装仅安全更新的客户安装针对此漏洞的 IE 累积更新。 CVE-2024-43583:Winlogon 特权提升漏洞,已被公开披露,且被利用可能性较大。使用不必要的权限执行缺陷(CWE-250)成功利用此漏洞的攻击者可以获得 SYSTEM 权限。 CVE-2024-20659:Windows Hyper-V 安全功能绕过漏洞,已被公开披露。此虚拟机管理程序漏洞与统一可扩展固件接口(UEFI)主机内的虚拟机有关。在某些特定硬件上,可能会绕过 UEFI,这将会导致虚拟机管理程序和安全内核受到损害。成功利用此漏洞需要满足多个条件,例如特定的应用程序行为、用户操作、传递给函数的参数的操作以及完整性级别令牌的模拟。
利用可能性较大的漏洞
CVE | CVSS | Tag |
CVE-2024-43509 | 7.8 | Windows 图形组件 |
CVE-2024-43556 | 7.8 | Windows 图形组件 |
CVE-2024-43560 | 7.8 | Windows 存储端口驱动程序 |
CVE-2024-43502 | 7.1 | Windows Kernel |
CVE-2024-43581 | 7.1 | 适用于 Windows 的 OpenSSH |
CVE-2024-43615 | 7.1 | 适用于 Windows 的 OpenSSH |
CVE-2024-43609 | 6.5 | Microsoft Office |
CVE-2024-43509、CVE-2024-43556:Windows 图形组件特权提升漏洞。Use-After-Free(CWE-416)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2024-43560:Microsoft Windows 存储端口驱动程序特权提升漏洞。基于堆的缓冲区溢出(CWE-122)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2024-43502:Windows 内核特权提升漏洞。使用未初始化的资源(CWE-908)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限,此漏洞可能允许攻击者泄露机密信息或使服务不可用,但不允许攻击者修改任何数据。
CVE-2024-43581、CVE-2024-43615:Microsoft OpenSSH for Windows 远程代码执行漏洞。成功利用此漏洞需要攻击者收集特定于环境的信息,有权访问目标文件将运行的位置并植入一个特定文件,该文件将用作漏洞利用的一部分。受害者需要执行特定的文件管理操作才可触发该漏洞。
CVE-2024-43609:Microsoft Office 欺骗漏洞。在基于 Web 的攻击场景中,攻击者可能托管包含旨在利用此漏洞的特制文件的网站或服务器。但是,攻击者无法强迫用户访问该网站,必须说服用户单击链接(通常通过电子邮件或即时通讯消息中的诱惑)并说服用户打开特制文件才可成功利用此漏洞。
CVSS 3.1 Base Score高评分漏洞
CVE | CVSS | Tag |
CVE-2024-43468 | 9.8 | Microsoft Configuration Manager |
CVE-2024-38124 | 9.0 | Windows Netlogon |
CVE-2024-43468:Microsoft Configuration Manager 远程代码执行漏洞,被标记为严重(Critical)漏洞。未经身份验证的攻击者可以通过向目标环境发送特制请求来利用此漏洞,这些请求以不安全的方式处理,使攻击者能够在服务器和/或底层数据库上执行命令。
CVE-2024-38124:Windows Netlogon 特权提升漏洞。要利用此漏洞,攻击者需要预测新域控制器的名称并重命名其计算机以匹配它,随后建立一个安全通道并保持其活动状态,同时将计算机重命名回原来的名称。一旦新的域控制器升级,攻击者就可以使用安全通道来冒充域控制器,并可能危及整个域。成功利用此漏洞的攻击者可以获得域管理员权限。
严重漏洞(Critical)
CVE | CVSS | Tag |
CVE-2024-43488 | 8.8 | Visual Studio Code |
CVE-2024-43582 | 8.1 | Windows 远程桌面 |
CVE-2024-43488:Visual Studio Code extension for Arduino 远程代码执行漏洞。Microsoft 已完全缓解此漏洞,使用此服务的用户无需执行任何操作。
CVE-2024-43582:远程桌面协议服务器远程代码执行漏洞。要利用此漏洞,未经身份验证的攻击者需要向 RPC 主机发送格式错误的数据包。这可能会导致在服务器端以与 RPC 服务相同的权限执行远程代码。成功利用此漏洞需要攻击者赢得竞争条件。
处置建议
根据微软官方指引,尽快下载安装补丁包进行修复,也可开启 Windows 自动更新保证补丁包的自动安装。
Microsoft 10 月安全更新指引:
https://msrc.microsoft.com/update-guide/releaseNote/2024-Oct
如有侵权请联系:admin#unsafe.sh