2024 年 9 月补丁星期二现已推出,Microsoft 已交付 79 个修复程序,包括针对少数零日漏洞(CVE-2024-38217、CVE-2024-38226、CVE-2024-38014、CVE-2024-43461)的修复程序,以及回滚早期 CVE 修复程序的 Windows 10 代码缺陷 (CVE-2024-43491)。
被积极利用的缺陷
让我们从以前唯一公开的漏洞开始:CVE-2024-38217,这是一个允许攻击者绕过 Web 标记 (MotW) 的漏洞。
Elastic 安全研究员 Joe Desimone 报告称,攻击者多年来一直利用该漏洞,方法是制作 Windows 快捷方式文件 (.LNK) 具有非标准目标路径或内部结构。
这样的文件将迫使 Windows “重写”它并删除 MotW 元数据,从而导致 – 根据 Microsoft 的说法 – 安全功能(如 SmartScreen 应用程序信誉安全检查和/或旧版 Windows 附件服务安全提示)的完整性和可用性的有限损失。
接下来我们有 CVE-2024-38226,这是另一个允许攻击者绕过安全功能的漏洞。此漏洞会影响 Microsoft Publisher,这是一个独立的应用程序,也包含在某些版本的 Microsoft Office 中。
“攻击本身是由对目标系统进行身份验证的用户在本地执行的。经过身份验证的攻击者可以通过社会工程说服受害者从网站下载并打开特制文件来利用该漏洞,这可能会导致对受害者计算机进行本地攻击,“Microsoft 在相关公告中解释说。
显然,有人设法做到了,从而绕过了 Office 宏策略,在目标计算机上执行恶意代码。不幸的是,Microsoft 没有分享谁报告了该漏洞,因此我们甚至无法推测此漏洞被用于的攻击的性质。
这次修复的另一个被利用的零日 Microsoft 是 CVE-2024-38014,这是 Windows Installer 中的一个漏洞,可能允许经过身份验证的攻击者将其权限提升到 SYSTEM。
“有趣的是,Microsoft 表示此错误不需要用户交互,因此漏洞利用的实际机制可能很奇怪。尽管如此,像这样的权限提升通常与代码执行错误配对以接管系统。快速测试并部署此修复程序,“Trend Micro 的 Zero Day Initiative 威胁意识主管 Dustin Childs 建议道。
Tenable 的高级研究工程师 Satnam Narang 指出,由于特权提升漏洞与入侵后活动有关,因此它们可能不会像远程代码执行错误那样受到关注。
“但是,它们对攻击者非常有价值,因为它们能够造成更多损害或泄露更多数据,组织必须确保修补这些漏洞以切断攻击路径并防止未来的入侵,”他补充道。
CVE-2024-43461 是一个 Windows MSHTML 平台欺骗漏洞,目前没有被描述为被广泛利用,但 Childs 表示应该被利用。
“这个错误类似于我们报告的漏洞,并在 7 月份进行了修补。ZDI 威胁搜寻团队在野外发现了这个漏洞,并于 6 月向 Microsoft 报告了这一漏洞。威胁行为者似乎很快就绕过了之前的补丁,“他指出。
“当我们告诉 Microsoft 这个错误时,我们表明它正在被积极使用。我们不确定为什么他们没有将其列为受到主动攻击,但您应该将其视为受到攻击,尤其是因为它会影响所有受支持的 Windows 版本。
其他值得注意的漏洞
CVE-2024-43491 是一个有趣的漏洞,它有效地回滚了对影响 Windows 10 版本 1507 上可选组件(例如 Internet Explorer 11、Windows Media Player、MSMQ 服务器核心等)的一些漏洞的修复。
“这个特定的漏洞影响了 Windows 更新系统,某些组件的安全补丁回滚到易受攻击的状态,并且自 2024 年 3 月以来一直处于易受攻击的状态,”Immersive Labs 威胁研究高级总监 Kevin Breen 告诉 Help Net Security。
“已知其中一些组件过去曾被广泛利用,这意味着尽管 Windows 更新称它已完全修补,但攻击者仍然可以利用它们。”
但是,根据 Microsoft 的说法,尚未检测到对 CVE-2024-43491 本身的利用。“此外,Microsoft 的 Windows 产品团队发现了这个问题,我们没有看到任何证据表明它是公开的。”
另一个好消息是,只有一小部分 Windows 10 系统受到影响。用户/管理员应查看公告,了解他们的计算机是否受到影响,并按此顺序安装“2024 年 9 月服务堆栈更新 (SSU KB5043936) 和 2024 年 9 月 Windows 安全更新 (KB5043083)。
Microsoft 认为更有可能被利用的修补漏洞包括 Microsoft Sharepoint 中的四个漏洞(CVE-2024-38018、CVE-2024-38227、CVE-2024-38228、CVE-2024-43464),这些漏洞可用于在 SharePoint Server 上实现远程代码执行。这四个方法都需要对攻击者进行身份验证才能开始利用,但 SharePoint 管理员最好为这些漏洞实施修复。