● 点击↑蓝字关注我们,获取更多安全风险通告
漏洞概述 | |||
漏洞名称 | 微软2024年12月补丁日多个产品安全漏洞 | ||
影响产品 | Windows 通用日志文件系统、Windows 轻量级目录访问协议 (LDAP)、Windows 远程桌面服务等。 | ||
公开时间 | 2024-12-11 | 影响对象数量级 | 千万级 |
奇安信评级 | 高危 | 利用可能性 | 高 |
POC状态 | 未公开 | 在野利用状态 | 部分发现 |
EXP状态 | 未公开 | 技术细节状态 | 未公开 |
危害描述:攻击者利用这些漏洞,可造成权限提升、远程代码执行等。 | |||
编号 | 漏洞名称 | 风险等级 | 公开状态 | 利用可能 |
CVE-2024-49138 | Windows 通用日志文件系统驱动程序权限提升漏洞 | 重要 | 已公开 | 在野利用 |
CVE-2024-49122 | Microsoft 消息队列 (MSMQ) 远程代码执行漏洞 | 紧急 | 未公开 | 较大 |
CVE-2024-49105 | 远程桌面客户端远程代码执行漏洞 | 紧急 | 未公开 | 较小 |
CVE-2024-49124 | 轻量级目录访问协议 (LDAP) 客户端远程代码执行漏洞 | 紧急 | 未公开 | 较小 |
CVE-2024-49127 | Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞 | 紧急 | 未公开 | 较小 |
CVE-2024-49118 | Microsoft 消息队列 (MSMQ) 远程代码执行漏洞 | 紧急 | 未公开 | 较小 |
CVE-2024-49123 | Windows 远程桌面服务远程代码执行漏洞 | 紧急 | 未公开 | 较小 |
CVE-2024-49116 | Windows 远程桌面服务远程代码执行漏洞 | 紧急 | 未公开 | 较小 |
CVE-2024-49132 | Windows 远程桌面服务远程代码执行漏洞 | 紧急 | 未公开 | 较小 |
CVE-2024-49120 | Windows 远程桌面服务远程代码执行漏洞 | 紧急 | 未公开 | 较小 |
CVE-2024-49112 | Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞 | 紧急 | 未公开 | 较小 |
CVE-2024-49119 | Windows 远程桌面服务远程代码执行漏洞 | 紧急 | 未公开 | 较小 |
CVE-2024-49108 | Windows 远程桌面服务远程代码执行漏洞 | 紧急 | 未公开 | 较小 |
CVE-2024-49128 | Windows 远程桌面服务远程代码执行漏洞 | 紧急 | 未公开 | 较小 |
CVE-2024-49126 | Windows 本地安全机构子系统服务 (LSASS) 远程代码执行漏洞 | 紧急 | 未公开 | 较小 |
CVE-2024-49106 | Windows 远程桌面服务远程代码执行漏洞 | 紧急 | 未公开 | 较小 |
CVE-2024-49117 | Windows Hyper-V 远程代码执行漏洞 | 紧急 | 未公开 | 较小 |
CVE-2024-49115 | Windows 远程桌面服务远程代码执行漏洞 | 紧急 | 未公开 | 较小 |
CVE-2024-49114 | Windows Cloud Files Mini Filter Driver 权限提升漏洞 | 重要 | 未公开 | 较大 |
CVE-2024-49088 | Windows 通用日志文件系统驱动程序权限提升漏洞 | 重要 | 未公开 | 较大 |
CVE-2024-49090 | Windows 通用日志文件系统驱动程序权限提升漏洞 | 重要 | 未公开 | 较大 |
CVE-2024-49093 | Windows Resilient 文件系统 (ReFS) 权限提升漏洞 | 重要 | 未公开 | 较大 |
CVE-2024-49070 | Microsoft SharePoint 远程代码执行漏洞 | 重要 | 未公开 | 较大 |
更容易被利用漏洞
以下7个漏洞被微软标记为 “Exploitation Detected”或“Exploitation More Likely”,这代表这些漏洞已遭利用或更容易被利用:
CVE-2024-49070 Microsoft SharePoint 远程代码执行漏洞
CVE-2024-49122 Microsoft 消息队列 (MSMQ) 远程代码执行漏洞
CVE-2024-49114 Windows Cloud Files Mini Filter Driver 权限提升漏洞
CVE-2024-49093 Windows Resilient 文件系统 (ReFS) 权限提升漏洞
CVE-2024-49088 Windows 通用日志文件系统驱动程序权限提升漏洞
CVE-2024-49090 Windows 通用日志文件系统驱动程序权限提升漏洞
CVE-2024-49138 Windows 通用日志文件系统驱动程序权限提升漏洞
鉴于这些漏洞危害较大,建议客户尽快安装更新补丁。
重点关注漏洞详情
经研判,以下23个漏洞值得关注,漏洞的详细信息如下:
1、CVE-2024-49138 Windows 通用日志文件系统驱动程序权限提升漏洞
漏洞名称 | Windows 通用日志文件系统驱动程序权限提升漏洞 | ||||
漏洞类型 | 权限提升 | 风险等级 | 重要 | 漏洞ID | CVE-2024-49138 |
公开状态 | 公开 | 在野利用 | 已发现 | ||
漏洞描述 | 该漏洞是由于 Windows Common Log File System 驱动中的边界错误导致的堆缓冲区溢出,本地用户可以利用此漏洞执行任意代码并获得 SYSTEM 权限。该漏洞已存在在野利用。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49138 | |||||
2、CVE-2024-49122 Microsoft 消息队列 (MSMQ) 远程代码执行漏洞
漏洞名称 | Microsoft 消息队列 (MSMQ) 远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 紧急 | 漏洞ID | CVE-2024-49122 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 这是一个 Use-after-free 漏洞,存在于 Microsoft Message Queuing (MSMQ) 中。远程攻击者可以利用这个漏洞赢得竞争条件,并在目标系统上执行任意代码。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49122 | |||||
3、CVE-2024-49105 远程桌面客户端远程代码执行漏洞
漏洞名称 | 远程桌面客户端远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 紧急 | 漏洞ID | CVE-2024-49105 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 这个漏洞的存在是由于 Remote Desktop Client 中的不当访问控制,导致远程攻击者可以利用该漏洞执行任意代码。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49105 | |||||
4、CVE-2024-49124 轻量级目录访问协议 (LDAP) 客户端远程代码执行漏洞
漏洞名称 | 轻量级目录访问协议 (LDAP) 客户端远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 重要 | 漏洞ID | CVE-2024-49124 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 该漏洞是由于在处理 LDAP 请求时存在一个竞争条件,这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码,从而完全控制系统。 | ||||
参考链接 | |||||
| https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49124 | |||||
5、CVE-2024-49127 Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞
漏洞名称 | Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 紧急 | 漏洞ID | CVE-2024-49127 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 该漏洞是由于 LDAP 客户端在处理请求时存在 Use After Free错误,这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码,从而完全控制系统。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49127 | |||||
6、CVE-2024-49118 Microsoft 消息队列 (MSMQ) 远程代码执行漏洞
漏洞名称 | Microsoft 消息队列 (MSMQ) 远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 紧急 | 漏洞ID | CVE-2024-49118 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 该漏洞是由于 MSMQ 在处理消息队列时存在 Use After Free错误,这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码,从而完全控制系统。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49118 | |||||
7、CVE-2024-49123 Windows 远程桌面服务远程代码执行漏洞
漏洞名称 | Windows 远程桌面服务远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 紧急 | 漏洞ID | CVE-2024-49123 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 该漏洞是由于 Windows Remote Desktop Services 在处理远程会话时存在敏感数据存储在未正确锁定的内存中,这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码,从而完全控制系统。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49123 | |||||
8、Windows 远程桌面服务远程代码执行漏洞
漏洞名称 | Windows 远程桌面服务远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 紧急 | 漏洞ID | CVE-2024-49116 CVE-2024-49132 CVE-2024-49120 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 该漏洞是由于 Remote Desktop Services 在处理远程会话时存在 Use After Free 错误,这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码,从而完全控制系统。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49116 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49132 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49120 | |||||
9、CVE-2024-49112 Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞
漏洞名称 | Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 紧急 | 漏洞ID | CVE-2024-49112 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 该漏洞是由于整数溢出或回绕导致的,这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码,从而完全控制系统。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49112 | |||||
漏洞名称 | Windows 远程桌面服务远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 紧急 | 漏洞ID | CVE-2024-49119 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 该漏洞是由于 Remote Desktop Services 使用不兼容类型访问资源导致的,这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码,从而完全控制系统。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49119 | |||||
11、Windows 远程桌面服务远程代码执行漏洞
漏洞名称 | Windows 远程桌面服务远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 紧急 | 漏洞ID | CVE-2024-49108 CVE-2024-49128 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 该漏洞涉及两个问题类型:敏感数据存储在未正确锁定的内存中以及 Use After Free。这些问题可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码,从而完全控制系统。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49108 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49128 | |||||
12、CVE-2024-49126 Windows 本地安全机构子系统服务 (LSASS) 远程代码执行漏洞
漏洞名称 | Windows 本地安全机构子系统服务 (LSASS) 远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 紧急 | 漏洞ID | CVE-2024-49126 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 该漏洞是由于 Windows Local Security Authority Subsystem Service (LSASS) 在处理安全验证时存在 Use After Free错误以及敏感数据存储在未正确锁定的内存中,导致远程代码执行。攻击者可以利用这些漏洞在目标系统上远程执行任意代码,从而完全控制系统。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49126 | |||||
13、Windows 远程桌面服务远程代码执行漏洞
漏洞名称 | Windows 远程桌面服务远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 紧急 | 漏洞ID | CVE-2024-49106 CVE-2024-49115 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 该漏洞是由于 Windows Remote Desktop Services 在处理远程会话时存在 Use After Free错误以及涉及敏感数据存储在未正确锁定的内存中,导致远程代码执行。攻击者可以利用这些漏洞在目标系统上远程执行任意代码,从而完全控制系统。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49106 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49115 | |||||
14、CVE-2024-49117 Windows Hyper-V 远程代码执行漏洞
漏洞名称 | Windows Hyper-V 远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 紧急 | 漏洞ID | CVE-2024-49117 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | Windows Hyper-V 在处理虚拟机操作时返回错误的状态码,这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码,从而完全控制系统。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49117 | |||||
15、CVE-2024-49114 Windows Cloud Files Mini Filter Driver 权限提升漏洞
漏洞名称 | Windows Cloud Files Mini Filter Driver 权限提升漏洞 | ||||
漏洞类型 | 权限提升 | 风险等级 | 重要 | 漏洞ID | CVE-2024-49114 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 该漏洞是由于 Windows Cloud Files Mini Filter Driver 缺乏适当的同步,这可能导致权限提升。攻击者可以利用这个漏洞提升权限,从而在系统上执行更高权限级别的操作。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49114 | |||||
16、CVE-2024-49088 Windows 通用日志文件系统驱动程序权限提升漏洞
漏洞名称 | Windows 通用日志文件系统驱动程序权限提升漏洞 | ||||
漏洞类型 | 权限提升 | 风险等级 | 重要 | 漏洞ID | CVE-2024-49088 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 该漏洞是由于 Windows Common Log File System Driver 存在缓冲区过度读取(CWE-126)错误,这可能导致权限提升。攻击者可以利用这个漏洞提升权限,从而在系统上执行更高权限级别的操作。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49088 | |||||
17、CVE-2024-49090 Windows 通用日志文件系统驱动程序权限提升漏洞
漏洞名称 | Windows 通用日志文件系统驱动程序权限提升漏洞 | ||||
漏洞类型 | 权限提升 | 风险等级 | 重要 | 漏洞ID | CVE-2024-49090 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 该漏洞是由于 Windows Common Log File System Driver 存在不信任的指针解引用(CWE-822)错误,这可能导致权限提升。攻击者可以利用这个漏洞提升权限,从而在系统上执行更高权限级别的操作。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49090 | |||||
18、CVE-2024-49093 Windows Resilient 文件系统 (ReFS) 权限提升漏洞
漏洞名称 | Windows Resilient 文件系统 (ReFS) 权限提升漏洞 | ||||
漏洞类型 | 权限提升 | 风险等级 | 重要 | 漏洞ID | CVE-2024-49093 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 该漏洞是由于 Windows Resilient File System (ReFS) 在处理文件系统操作时存在数值类型转换错误(CWE-681),这可能导致权限提升。攻击者可以利用这个漏洞提升权限,从而在系统上执行更高权限级别的操作。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49093 | |||||
19、CVE-2024-49070 Microsoft SharePoint 远程代码执行漏洞
漏洞名称 | Microsoft SharePoint 远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 重要 | 漏洞ID | CVE-2024-49070 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | 该漏洞是由于 Microsoft SharePoint 在处理数据反序列化时存在不信任数据的反序列化(CWE-502)错误,这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码,从而完全控制系统。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49070 | |||||
安全更新
使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。
也可以采用以下官方解决方案及缓解方案来防护此漏洞:
Windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新
4、重启计算机,安装更新
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的12月补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2024-Dec
产品解决方案
奇安信天擎终端安全管理系统解决方案
奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户,可以将补丁库版本更新到:2024.12.11.1及以上版本,对内网终端进行补丁更新。
推荐采用自动化运维方案,如果控制中心可以连接互联网的用户场景,建议设置为自动从奇安信云端更新补丁库至2024.12.11.1版本。
控制中心补丁库更新方式:每天04:00-06:00自动升级,升级源为从互联网升级。
纯隔离网内控制中心不能访问互联网,不能下载补丁库和补丁文件,需使用离线升级工具定期导入补丁库和文件到控制中心。
https://msrc.microsoft.com/update-guide/releaseNote/2024-Dec
2024年12月11日,奇安信 CERT发布安全风险通告。
奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:
点击↓阅读原文,到ALPHA威胁分析平台订阅更多漏洞信息。
如有侵权请联系:admin#unsafe.sh