微软将在2024 年 10 月补丁星期二解决 118 个漏洞,并且有证据表明发布的 5 个漏洞被野蛮利用和/或公开披露,尽管微软尚未将其中任何一个漏洞评定为严重漏洞。
在这五个漏洞中,微软列出了两个已被利用的漏洞,这两个漏洞现在都已列入 CISA KEV 中。微软还在修补另外三个关键的远程代码执行 (RCE) 漏洞,本月已单独发布的三个浏览器漏洞未包括在总数中。
有些不寻常的是,我们将先看看发布的三个关键 RCE 中的两个,CVE-2024-43468和CVE-2024-43582,然后再讨论那些威胁性较小的零日漏洞。
微软 Configuration Manager 收到了针对微软发布的唯一漏洞的补丁,CVSS 基本评分为 9.8。尽管微软并未将其标记为公开披露或被广泛利用,但CVE-2024-43468的公告似乎描述了针对 微软 Configuration Manager 的无交互、低复杂度、未经身份验证的网络 RCE。
通过发送特制的恶意请求来实现利用,并导致在 Configuration Manager 服务器或其底层数据库的上下文中执行代码。相关更新安装在 Configuration Manager 控制台中,需要管理员执行特定操作,微软 在一系列通用文章中对此进行了详细描述。KB29166583中描述了更多信息和几个具体必需步骤。
令人困惑的是,KB29166583 于一个多月前的 9 月 4 日首次发布,随后于 9 月 18 日取消发布并重新发布,完全没有提及才发布的CVE-2024-43468,而 KB29166583 显然可以修复该漏洞。防御者应该仔细阅读可用的文档,然后最好再读一遍。
任何 RDP 服务器关键 RCE 都值得快速修补。CVE -2024-43582是远程桌面协议服务器中的预认证关键 RCE。利用该漏洞需要攻击者向 Windows RPC 主机发送故意格式错误的数据包,并导致在 RPC 服务上下文中执行代码,尽管这在实践中意味着什么可能取决于包括目标资产上的RPC接口限制配置在内的因素。一线希望:攻击复杂性很高,因为攻击者必须赢得竞争条件才能不正确地访问内存。
谁不喜欢一个好的特权提升漏洞?疲惫的蓝队成员在看到全新公告上的"公开披露"字样时就知道答案了。CVE -2024-43583描述了 Winlogon 中的一个漏洞,该漏洞使攻击者在登录过程中通过滥用第三方输入法编辑器 (IME) 一路获得 SYSTEM 权限。补充KB5046254文章解释说,10 月 8 日的补丁在登录过程中禁用了非 微软 IME。在此基础上,对于无法立即应用的补丁的任何人,彻底删除第三方 IME 是一种缓解措施。
减少攻击面始终是值得考虑的,而删除第三方 IME 无疑可以实现这一目标。任何需要保留第三方 IME 的人仍然可以这样做,但是一旦应用了的补丁,该第三方 IME 将被禁用(仅在登录过程中),以防止利用CVE-2024-43583。虽然微软并没有完全说明,但对现有信息的唯一合理解释是,没有安装第一方/微软 IME 的资产在修补后仍然容易受到攻击,因为否则在尝试登录时将无法使用 IME。在混合语言或非英语环境中,使用第三方 IME 更有可能成为问题。围绕此漏洞的披露过程可能并不完全顺利;早在 9 月,一位被发现的研究人员就通过 X表达了对 MSRC 的不满。
CVE-2024-20659描述了 Hyper-V 中公开披露的安全功能绕过。微软 表示利用该漏洞的可能性较小,但非常复杂。攻击者必须既幸运又足智多谋,因为只有启用 UEFI 的虚拟机管理程序和某些未指定的硬件才容易受到攻击,并且利用该漏洞需要协调多种因素,然后适时重启。所有这些都需要先在同一网络上站稳脚跟,尽管在这种情况下,这可能意味着访问目标虚拟机管理程序上的 VM,而不是同一子网上的其他位置。成功利用漏洞的奖励是虚拟机管理程序内核被攻陷。
CVE-2024-43573是 MSHTML 中一个被广泛利用的欺骗漏洞,微软也知道该漏洞有可用的公开利用代码;该公告将 CWE-79 列为漏洞,即跨站点脚本 (XSS)。该公告没有提供更多细节,但通常安装"仅安全"更新的 Windows Server 2012/2012 R2 管理员应该注意,微软鼓励安装月度汇总以确保在这种情况下得到补救。CVSSv3 的低基础分数 6.5 反映了对用户交互的要求以及对完整性或可用性的影响不大;合理的假设可能是,利用该漏洞会导致敏感数据的不当泄露,但不会对目标资产产生其他直接影响。
微软以其闭源产品而闻名,但在过去大约 25 年里,它谨慎地大幅放松了对开源的立场。到目前为止,Windows 已经包含cURL组件近七年了,以及其他各种开源组件;微软确实会不时地修补这些组件,尽管修补速度并不总是像防御者希望的那样快。针对cURL 中公开披露的 RCE 漏洞CVE-2024-6197的修补程序延续了这一趋势。
微软针对CVE-2024-6197 的公告澄清说,Windows 不提供 libcurl,只提供 curl 命令行,但该命令行仍然易受攻击,因此需要修复。要利用该漏洞,用户必须连接到攻击者控制的恶意服务器,并且代码执行大概是在用户在 Windows 资产上启动 curl CLI 工具的上下文中。cURL项目针对 CVE-2024-6197 的公告最初于 7 月 24 日发布,并从他们的角度提供了进一步的详细信息。有趣的是,cURL 项目将利用漏洞的最可能结果描述为崩溃,并没有特别提到 RCE,尽管它谨慎地不排除未指定的"更严重结果"的可能性,这很可能意味着 RCE。微软 将此漏洞评为重要,与 CVSS 基本分数 8.8 一致。
CVE-2024-43572是公布的五个零日漏洞的补充,它描述了微软管理控制台中一种低复杂度、无需用户交互的 RCE。微软 知道公开的功能性漏洞代码和在野利用。当用户下载并打开特制的恶意 微软 Saved Console (MSC) 文件时,就会利用此漏洞,因此这里没有暗示管理控制台容易受到网络攻击。的补丁可以防止打开不受信任的 MSC 文件,尽管该公告没有描述 Windows 如何知道哪些是可信的,哪些不是。微软 已选择将 CVE-2024-43572 映射到 CWE-70,这是一个非常广泛的类别,MITRE 明确反对使用它。
修补的第三个关键 RCE 希望不会像它的同类那样令人担忧。CVE -2024-43488位于 Arduino 的 Visual Studio Code 扩展中,微软指出,此CVE记录的漏洞不需要客户采取任何行动即可解决。一个合理的问题是:这里的"无需采取行动"到底是什么意思?在公告中,微软声称已经完全缓解了漏洞,并且没有修复漏洞的计划。尽管这一切听起来令人困惑,但也许最重要的一点是,微软现在正在发布云服务 CVE,以努力提高透明度。目前尚不清楚该漏洞何时首次出现或何时得到补救,但无论如何,这是一个值得欢迎的细节扩展。
在微软生命周期新闻中,将终止对 Windows 11 22H2 家庭版、专业版、专业教育版、专业工作站版和 SE 版的支持,以及对Windows 11 21H2 教育版、企业版和企业多会话版的支持。Server 2012 和 Server 2012 R2 进入 ESU 的第二年。
Windows Embedded POSReady(POS 代表销售点)收到了其最后的 ESU 更新,这可能是整个 Windows 7 的最后一搏。除了修补的关键 RCE CVE-2024-43468之外,仍在使用Configuration Manager 2303 的Intune 管理员应该立即升级到较新的版本,因为支持将于本周四(有点不寻常)结束。