|
微軟完成了 2024 年補(bǔ)丁星期二更新,修復(fù)了其軟件產(chǎn)品組合中總共 72 個安全漏洞��,其中包括一個據(jù)稱已被野蠻利用的漏洞���。 在這 72 個漏洞中����,17 個被評為嚴(yán)重�,54 個被評為重要,1 個被評為中等嚴(yán)重程度��。其中 31 個漏洞是遠(yuǎn)程代碼執(zhí)行漏洞�����,27 個漏洞允許提升權(quán)限�����。 自上個月發(fā)布安全更新以來��,該公司已在其基于 Chromium 的 Edge 瀏覽器中解決了13個漏洞��。根據(jù) Fortra 的數(shù)據(jù)��,僅在 2024 年�����,微軟就總共解決了多達(dá) 1,088 個漏洞���。 微軟承認(rèn)已被積極利用的漏洞是CVE-2024-49138(CVSS 評分:7.8)�����,這是 Windows 通用日志文件系統(tǒng) (CLFS) 驅(qū)動程序中的一個權(quán)限提升缺陷�。 該公司在一份公告中表示:“成功利用此漏洞的攻擊者可以獲得系統(tǒng)權(quán)限”,并感謝網(wǎng)絡(luò)安全公司 CrowdStrike 發(fā)現(xiàn)并報告了這一漏洞����。 值得注意的是,CVE-2024-49138 是繼 CVE-2022-24521��、CVE-2022-37969����、CVE-2023-23376、CVE-2023-28252(CVSS 評分:7.8)之后���,自 2022 年以來第五個被積極利用的CLFS 提權(quán)漏洞����,也是今年修復(fù)的第九個同一組件漏洞����。 Tenable 高級研究工程師 Satnam Narang 向 The Hacker News 表示:“盡管目前尚不清楚實際利用細(xì)節(jié)����,但回顧 CLFS 驅(qū)動程序漏洞的歷史���,值得注意的是,勒索軟件運(yùn)營商在過去幾年中已經(jīng)養(yǎng)成了利用 CLFS 特權(quán)提升漏洞的傾向�����?�!?/span> “與通常注重精準(zhǔn)和耐心的高級持續(xù)性威脅組織不同��,勒索軟件運(yùn)營商和關(guān)聯(lián)方專注于不擇手段地實施破壞和搶劫策略����。通過利用 CLFS 中的此類特權(quán)提升漏洞,勒索軟件關(guān)聯(lián)方可以通過給定網(wǎng)絡(luò)竊取和加密數(shù)據(jù)并開始勒索受害者�����?����!?/span> CLFS 已成為惡意行為者的有吸引力的攻擊途徑這一事實并沒有被微軟忽視,該公司表示正在努力在解析此類日志文件時添加一個新的驗證步驟�。 微軟在 2024 年 8 月下旬指出:“這種安全緩解措施無需嘗試驗證日志文件數(shù)據(jù)結(jié)構(gòu)中的單個值,而是使 CLFS 能夠檢測日志文件是否被 CLFS 驅(qū)動程序本身以外的任何東西修改�。” “這是通過在日志文件末尾添加基于哈希的消息認(rèn)證碼 (HMAC) 來實現(xiàn)的���?���!?/span> 美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 此后將該漏洞添加到其已知被利用漏洞 ( KEV ) 目錄中�,要求聯(lián)邦民事行政部門 (FCEB) 機(jī)構(gòu)在 2024 年 12 月 31 日之前采取必要的補(bǔ)救措施。 本月發(fā)布版本中嚴(yán)重程度最高的漏洞是影響 Windows 輕量級目錄訪問協(xié)議 (LDAP) 的遠(yuǎn)程代碼執(zhí)行漏洞���。該漏洞的編號為CVE-2024-49112(CVSS 評分:9.8)����。 微軟表示:“成功利用此漏洞的未經(jīng)身份驗證的攻擊者可以通過一組特制的 LDAP 調(diào)用來獲取代碼執(zhí)行權(quán)限�,從而在 LDAP 服務(wù)的上下文中執(zhí)行任意代碼?��!?/span> 另外值得注意的是另外兩個影響 Windows Hyper-V(CVE-2024-49117����,CVSS 分?jǐn)?shù):8.8)、遠(yuǎn)程桌面客戶端(CVE-2024-49105�,CVSS 分?jǐn)?shù):8.4)和 Microsoft Muzic(CVE-2024-49063,CVSS 分?jǐn)?shù):8.4)的遠(yuǎn)程代碼執(zhí)行漏洞����。 0patch 發(fā)布非官方補(bǔ)丁,修復(fù) Windows 零日漏洞���,攻擊者可以利用該漏洞獲取 NT LAN Manager (NTLM) 憑證。有關(guān)該漏洞的更多詳細(xì)信息����,將保留至官方補(bǔ)丁發(fā)布。 Mitja Kolsek 表示:“該漏洞允許攻擊者通過讓用戶在 Windows 資源管理器中查看惡意文件來獲取用戶的 NTLM 憑據(jù) - 例如����,打開包含此類文件的共享文件夾或 USB 磁盤,或者查看先前從攻擊者的網(wǎng)頁自動下載此類文件的下載文件夾��。 ” 10 月下旬����,還發(fā)布了免費(fèi)的非官方補(bǔ)丁來修復(fù) Windows 主題零日漏洞,該漏洞允許攻擊者遠(yuǎn)程竊取目標(biāo)的 NTLM 憑據(jù)。 0patch 還發(fā)布了針對 Windows Server 2012 和 Server 2012 R2 上另一個之前未知的漏洞的微補(bǔ)丁���,該漏洞允許攻擊者繞過某些類型文件的 Mark-of-the-Web ( MotW ) 保護(hù)����。據(jù)信該問題早在兩年前就已出現(xiàn)���。 由于 NTLM 受到中繼和傳遞哈希攻擊的廣泛利用����,微軟已宣布計劃棄用舊式身份驗證協(xié)議��,轉(zhuǎn)而采用 Kerberos�����。此外����,它已采取措施,默認(rèn)為新安裝和現(xiàn)有 Exchange 2019 安裝啟用身份驗證擴(kuò)展保護(hù) (EPA)���。 微軟表示�����,它已對 Azure 目錄證書服務(wù) (AD CS) 進(jìn)行了類似的安全改進(jìn)����,在 Windows Server 2025 的發(fā)布中默認(rèn)啟用 EPA,這也取消了對 NTLM v1 的支持并棄用了 NTLM v2��。這些更改也適用于 Windows 11 24H2�����。 雷德蒙德的安全團(tuán)隊本周早些時候表示:“此外�,作為 Windows Server 2025 版本的一部分���,LDAP 現(xiàn)在默認(rèn)啟用了通道綁定�����。這些安全增強(qiáng)功能默認(rèn)減輕了三項本地服務(wù)中 NTLM 中繼攻擊的風(fēng)險:Exchange Server����、Active Directory 證書服務(wù) (AD CS) 和 LDAP���?!?/span> “隨著我們逐步默認(rèn)禁用 NTLM,立即采取短期更改(例如在 Exchange Server�、AD CS 和 LDAP 中啟用 EPA)可強(qiáng)化'默認(rèn)安全’態(tài)勢,并保護(hù)用戶免受現(xiàn)實世界的攻擊��?���!?/span> 微軟補(bǔ)丁日系列回顧
|
