微软将在2024 年 9 月补丁星期二修复 79 个漏洞。
微软有证据表明,发布的四个漏洞被野外利用和/或公开披露;所有四个漏洞均已在CISA KEV上列出。微软还在修补四个关键的远程代码执行 (RCE) 漏洞。
不同寻常的是,微软本月尚未修补任何浏览器漏洞。
当今最令人担忧的漏洞是CVE-2024-43491,它描述了一个预授权 RCE 漏洞。
该漏洞是由 Windows 服务堆栈的回归引起的,该回归已回滚了对影响可选组件的许多先前漏洞的修复。CVSSv3.1 基本评分为 9.8,这通常不是好消息。
然而,事情并没有看上去那么糟糕:关键在于只有 Windows 10 版本 1507(Windows 10 Enterprise 2015 LTSB 和 Windows 10 IoT Enterprise 2015 LTSB)受到影响。
此外,微软指出,虽然至少有一些意外未修补的漏洞已知被利用,但他们还没有看到 CVE-2024-43491 本身被广泛利用,而且这个缺陷是由微软发现的。
肯定有不少组织仍在运行 Windows 10 1507,但大多数管理员可以松一口气,然后再回去担心其他事情。
CVE-2024-43491描述的服务堆栈回归是在 2024 年 3 月的补丁中引入的。
那些仍在运行 Windows 10 1507 的少数怀旧人士应该注意,服务堆栈和发布的常规 Windows 操作系统补丁都需要补丁,并且必须按该顺序应用。
微软没有具体说明 3 月份意外未修补哪些漏洞,尽管在常见问题解答的末尾有一个受影响的可选组件的大量列表,因此潜在的漏洞集相当长。
假以时日,一个热心的数据挖掘者无疑可以找出可能的嫌疑人名单。
微软也对出了什么问题提供了高层次的解释:2024 年 3 月 1507 安全补丁的内部版本号触发了服务堆栈中的潜在代码缺陷,在此期间更新的任何可选组件都降级为 RTM 版本。
这听起来可能与上个月在 Black Hat USA 2024 上披露的Windows 操作系统降级攻击惊人地相似,但两者之间显然没有任何实质性联系。
微软总部的某个人很可能正在仔细检查其他 Windows 版本,以查找服务堆栈中类似的基于版本范围的缺陷。
Mark-of-the-Web (MotW) 安全功能绕过CVE-2024-38217不仅已知被利用,而且还通过一份详尽的写作公开披露,漏洞代码也可在 GitHub 上找到。
除此之外,发现者还指出了可追溯到 2018 年的 VirusTotal 样本,以证明该漏洞确实被滥用了很长时间。
与 MotW 绕过漏洞的一般情况一样,当用户下载并打开特制的恶意文件时,就会发生利用,然后该文件可能会绕过SmartScreen 应用程序信誉安全检查和/或旧版 Windows 附件服务安全提示。
被利用的四个漏洞中,下一个是CVE-2024-38014:Windows Installer 中的特权提升漏洞。
中等 CVSSv3.1 基本评分 7.8 与 Microsoft 的严重性评估"重要"而非"严重"相符。
利用该漏洞可授予 SYSTEM 代码执行权限,尽管攻击媒介是本地的,但这可能至少对恶意软件作者有一点吸引力,因为攻击复杂性和特权要求都很低,并且不需要用户交互。
在这种情况下,CWE-269:不当特权管理大概描述了一种导致 Windows Installer 过于慷慨地提供安装软件和配置操作系统所需的特权访问权限的方法。
所有当前版本的 Windows 都收到了修复,Server 2008 也是如此,尽管官方支持已经结束将近一年了,但 Microsoft 仍坚持不时地对其进行修补。
距离我们上次讨论 Microsoft Publisher 已经有一段时间了,发布的CVE-2024-38226(一种针对 Office 宏策略的本地安全功能绕过)为我们提供了这样做的机会。
预览窗格未涉及此问题,常见问题解答中对漏洞利用方法的描述值得欢迎,但有些不寻常:攻击者不仅必须说服用户下载并打开恶意文件,还必须在系统本身上对攻击者进行身份验证,尽管常见问题解答中没有进一步解释。
除了已知已被利用或披露的漏洞之外,我们发现了三个关键的 RCE 漏洞:两个在 SharePoint 中,一个在 Windows NAT 实现中。
SharePoint RCE CVE-2024-38018的网络向量利用要求攻击者已经拥有站点成员权限,但由于这些权限并不是最重要的,攻击复杂度较低,并且不需要用户交互,因此微软非常合理地在其专有严重性等级上将其评定为"严重",并预计利用的可能性更大。
本月修补的第二个 SharePoint 关键 RCE 是CVE-2024-43464,它描述了对不受信任的数据进行反序列化,导致在上传恶意文件后通过特制的 API 调用在 SharePoint Server 上下文中执行代码;一个缓解因素是攻击者必须已经拥有站点所有者权限或更高权限。
这一切听起来都与Rapid7 在 2024 年 5 月撰写的CVE-2024-30044非常相似。
本月最严重的 RCE 漏洞还有CVE-2024-38119,它描述了 Windows NAT 实现中的一个释放后使用漏洞。攻击载体被列为相邻,因此攻击者需要在与目标资产相同的网络上有一个立足点,才能赢得竞争条件,这会增加攻击的复杂性。
尽管这看起来像是预授权 RCE,但 Microsoft 认为利用的可能性较小。由于未知原因,Server 2012/2012 R2 没有收到补丁,但所有较新的受支持 Windows 版本都收到了补丁。
在 2024 年 3 月和 4 月经历了几个月的繁忙之后,交易所方面已经有一段时间没有动静了,而本月则延续了这种奇怪的好运。
2024 年 9 月期间,Microsoft 产品生命周期没有重大变化,但负责Azure Database for MySQL - Single Server 的任何人都必须在 2024-09-16 截止日期之前迁移到受支持的服务,以避免非自愿的强制迁移和服务器不可用。
正如 Rapid7 上个月指出的那样,Visual Studio for Mac 于 2024-08-31 收到了最后一个补丁。
此外,在 2024-08-31,许多旧版 Azure 服务已退役,包括云服务上的 Azure Cache for Redis(经典版)。
10 月将看到 Windows 11 的重大生命周期变化:Windows 11 企业版和教育版 21H2 版本的发布结束日期,以及其他 Windows 11 版本 22H2 版本的发布结束日期。
旧版软件的粉丝已经知道,Server 2012 和 2012 R2 将于 10 月进入现金换更新扩展安全更新计划的第二年。