最后更新于2024年8月20日星期二17:46:27 GMT
微软正在解决88个漏洞 2024年8月补丁星期二. 微软有证据表明,今天发布的10个漏洞被肆意利用和/或公开披露, 这比平常多了很多. 在撰写本文时,列出了今天修补的所有六个已知被利用的漏洞 中钢协KEV. 微软今天还修补了五个关键的远程代码执行(RCE)漏洞. 本月已经分别发布了11个浏览器漏洞, 和不包括在总数中.
补丁星期二的观察者会知道,今天的4个公开披露的漏洞和6个进一步利用的漏洞比平时要大得多. 我们将首先解决那些公开披露但没有补丁可用的漏洞:上周在黑帽大会上披露的值得注意的Windows OS降级攻击. 然后,我们将检查今天发布的微软知道已经在野外被利用的漏洞, 然后看看本月公布的其他公开披露的漏洞.
Windows Update: 50%修补零日下载攻击
重要的是:如果你打过补丁的Windows资产突然没有打补丁怎么办, 直至并包括管理程序? 这是在黑帽演讲中提出并回答的问题 SafeBreach 上周. 作为回应,微软发布了两个漏洞. 早在2024年2月,微软就首次收到了这些漏洞的通知, 顾问们也承认,黑帽大会的演讲“与微软进行了适当的协调”.”
cve - 2024 - 38202 描述Windows更新堆栈中的权限提升漏洞, 而且攻击者需要说服管理用户执行系统恢复——这很不寻常, 当然, 但是社会工程师可以完成很多事情. 微软乐观地认为利用这个漏洞的可能性不大. 该通知没有解释具有基本权限的用户如何修改目标资产的System目录, 哪些是需要植入恶意系统还原文件的, 虽然 SafeBreach帐面价值 能否详细地解释这个缺陷. 目前还没有可用的补丁, 尽管该公告指出,缓解这一威胁的安全更新正在开发中. 微软提供了几个推荐的操作, 哪些不能减轻漏洞, 但至少可以为攻击提供额外的障碍,并为攻击面和攻击尝试提供一些有用的额外可见性. 一个可能的结果是,攻击者可以修改完整性和修复实用程序,使其不再检测Windows系统文件中的损坏.
cve - 2024 - 21302 是SafeBreach发现的降级攻击对的后半部分吗. 漏洞利用允许具有管理员权限的攻击者用旧版本替换更新的Windows系统文件,从而重新引入漏洞 VBS(虚拟化安全). Patches are available; however, 防御者必须注意补丁不会自动修复资产, 而是提供了一个微软签名的可选撤销策略, 这带来了启动循环的风险,如果应用,然后不正确地恢复. 重要的指导可在 KB5042562:阻止回退VBS相关安全更新的指导.
Windows WinSock:零日EoP
继续讨论已知的被利用的漏洞:WinSock的Windows辅助功能驱动程序收到了一个针对被利用的特权提升漏洞的补丁 cve - 2024 - 38193. 成功的利用是通过一个释放后使用的内存管理错误, 并可能导致系统特权. 公告没有提供进一步的线索, 而是存在于野外的开发, 低攻击复杂度, 不涉及用户交互, 要求的特权也很低, 这是一个需要立即修补以防止恶意软件入侵的程序.
Windows电源依赖协调器:零日EoP
而我们看到的是野外利用, Use-after-free漏洞和极简建议: cve - 2024 - 38107 还会通过滥用Windows电源依赖协调器导致系统特权 允许Windows电脑几乎立即唤醒 从睡梦中. 当然, 没有什么是免费的:这个漏洞不需要用户交互, 攻击复杂度低, 并且要求较低的特权. 尽快修补所有Windows资产.
Windows内核:零日EoP
仍然是关于野外利用,提升到系统漏洞的话题: cve - 2024 - 38106 要求攻击者赢得符合CWE-591的竞争条件:敏感数据存储在不正确锁定的内存中. 尽管对于 cve - 2024 - 38106 没有提供进一步的细节吗, 一个合理的假设是,该漏洞可能类似于 cve - 2023 - 36403,其中利用依赖于Windows内核处理锁的方式中的一个缺陷 注册中心虚拟化, 它允许Windows将全局影响的注册表读/写操作重定向到每个用户位置,以支持不兼容uac的遗留应用程序. 奇怪的是,Windows Server 2012没有收到补丁 cve - 2024 - 38106, 因此,这个漏洞要么是在后来的代码库中引入的, 或者微软希望攻击者不会注意到.
Windows SmartScreen:零日mow绕过
cve - 2024 - 38213 描述当前所有Windows产品中的Web标记(MotW)安全绕过漏洞. 说服用户打开恶意文件的攻击者可以绕过SmartScreen, 哪一种通常会提醒用户注意从互联网下载的文件, 哪些Windows会贴上“MotW”的标签. cve - 2024 - 38213 与2024年2月发布的类似的SmartScreen绕过技术相比,它对攻击者的效用可能更小, 因为不像今天的祭品, 建议为前 cve - 2024 - 21351 他还描述了向SmartScreen本身注入代码的可能性. 今天的cve - 2024 - 38213较低的CVSSv3基本分数反映了这种差异.
Edge Internet 探索r模式:零日EoP
虽然边缘RCE漏洞 cve - 2024 - 38178 是已知在野外被利用的吗, 它可能不会成为本月任何人最关心的问题. 该建议澄清说,成功利用攻击者不仅需要说服用户点击恶意链接, 还要首先准备目标资产,以便它在Internet 探索r模式下使用Edge. IE Mode provides backwards-compatibility functionality so that users can view legacy websites which rely on the fascinating idiosyncrasies of Internet 探索r; such sites are often served by enterprise legacy web applications, 这就很好地解释了微软为什么要继续保留ie浏览器. 如果尚未在目标资产上启用, 攻击者必须修改Edge设置,以启用“允许在Internet 探索r中重新加载站点”设置. 随后的利用将包括说服用户在Edge中打开Internet 探索r模式选项卡,然后打开恶意URL. Remediation involves patching Windows itself; all current versions of Windows are affected.
Microsoft Project:零日RCE
本月的六个“野外利用”漏洞是 cve - 2024 - 38189,它描述了Microsoft Project中的RCE. 攻击者需要说服用户打开一个恶意文件, 只有在"阻止宏在来自Internet的Office文件中运行“ policy被禁用-默认情况下是启用的-而”VBA宏通知设置的水平设置得足够低. 令人高兴的是,在这种情况下,预览窗格不是攻击向量.
Microsoft Office:零日欺骗
上周公布,承认其公开披露, 并在今天为所有当前版本的Office打了补丁, cve - 2024 - 38200 描述欺骗漏洞. 利用需要用户点击一个恶意链接. 尽管该报告没有描述其影响, 弱点是CWE-200:将敏感信息暴露给未经授权的参与者, 和 the FAQ mentions outgoing NTLM traffic; reading between the lines, NTLM哈希值很可能在被成功利用后暴露.
该建议提出了可能已经适用的缓解因素, 或者可能有助于改进安全状态:将用户添加到受保护用户安全组, 阻止使用NTLM身份验证, 并阻止到端口445的出站SMB连接. 在某些情况下,这两种缓解措施都可能破坏遗留身份验证.
有些异常, 微软声称已经两次修复了这个漏洞, 因为除了今天的补丁, 在2024年7月30日,针对所有支持的Office和365版本,通过Feature flight启用了一个替代修复. 微软仍然建议客户更新到2024-08-13补丁,以获得最终版本的修复程序. 有些令人困惑的是, the FAQ then goes on to say that the Security 更新 table will be revised when the update is publicly available; however, 微软很可能会在不久的将来更新FAQ,以澄清这是一个小的FAQ编辑疏忽,而不是建议进一步的补丁.
Windows行打印机守护进程:零日RCE
行打印机守护程序(LPD)漏洞就像公共汽车一样:您需要等待很长时间才能等到一辆, 然后两个快速连续出现. 上个月的拒绝服务漏洞现在加入了 cve - 2024 - 38199公开披露的RCE漏洞. 利用要求攻击者通过网络向共享的易受攻击的Windows Line Printer Daemon服务发送恶意打印任务. 许多管理员不需要担心这个漏洞,因为微软一直在担心 鼓励 所有人都离开LPD近十年了, 而且在Server 2012之后的Windows产品上默认不会安装它. 仍然, Windows Server 2008 SP2版本有补丁, 服务器2022年23H2, 以及介于两者之间的一切.
Windows TCP/IP IPv6:关键RCE
有些漏洞被描述为远程代码执行, 但要求用户点击一个可疑的链接或打开一个恶意文件. 然而,情况并非如此 cve - 2024 - 38063,它描述了Windows IPv6堆栈中的整数下流/环绕. 说明攻击者可以通过重复发送IPv6报文来实现RCE, 包括特别制作的包, 到Windows资源.
与一个基本的CVSSv3得分9.8, 唯一能让cve - 2024 - 38063免于满分10分的是它没有改变作用域, 但是由于成功利用可能会导致RCE具有SYSTEM特权, 这可能是学术上的区别. 所有版本的Windows都会受到影响, 除非IPv6栈(默认是启用的)被禁用. 请注意,从网络接口解除绑定IPv6堆栈与 在资产上完全禁用IPv6.
一个详细的 对cve - 2024 - 38063的快速分析可在AttackerKB上获得,包括对攻击者值的讨论,以及基于补丁差异的观察. 这个分析在直接触发漏洞和直接触发漏洞之间得出了一个重要的区别. 成功实现远程代码执行, 因为后者通常比简单地导致整数下溢要困难得多. The Windows kernel employs numerous techniques to frustrate memory corruption attacks; older Windows products offer fewer protections than the most recent ones, 并且至少从Server 2008开始就很脆弱.
此时最好的保护是应用微软的官方补丁. 如果这是不可能的,在网络适配器上禁用IPv6是下一个最好的缓解措施. 组织还可以评估其网络是否需要IPv6流量.
cve - 2024 - 38063不一定展示IPv6安全的任何具体内容, 因为这不是协议错误, 而是微软IPv6协议栈实现中的一个漏洞. 这意味着Linux和其他使用IPv6的系统将完全不受影响.
尽可能减少攻击面总是有用的, 特别是在删除或禁用可能使用户暴露于技术堆栈中的漏洞的功能时,这些用户不会直接利用这些漏洞. 在IPv6的情况下, 大多数Windows用户可能不需要IPv6, 他们的网络很可能仍然只使用IPv4. 在企业环境中,这可能不是真的, 哪里可能需要IPv6, 因此,在某些环境中禁用该协议可能是不可能的.
SharePoint & 交换更新
作为对那些可能正在关注他们的待办事项清单的捍卫者的一种橄榄枝, 微软本月没有发布任何SharePoint或Exchange漏洞.
微软生命周期更新
所有Mac版本的Visual Studio将于2024-08-31退休,并且在此日期之后将不再接受任何进一步的更新(包括安全补丁). 这个网址似乎预料到有些人会有问题: http://learn.microsoft.com/en-us/visualstudio/mac/what-happened-to-vs-for-mac. 微软建议Visual Studio Code的c# Dev Kit作为一个可能的选择.
总结图表
汇总表
应用程序的漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 38177 | Windows应用程序安装程序欺骗漏洞 | No | No | 7.8 |
Azure的漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 38108 | Azure堆栈中心欺骗漏洞 | No | No | 9.3 |
| cve - 2024 - 38109 | Azure运行状况Bot特权提升漏洞 | No | No | 9.1 |
| cve - 2024 - 38195 | Azure CycleCloud远程代码执行漏洞 | No | No | 7.8 |
| cve - 2024 - 38098 | Azure连接机器代理权限提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38162 | Azure连接机器代理权限提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38201 | Azure堆栈集线器特权提升漏洞 | No | No | 7 |
浏览器的漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 38218 | Microsoft Edge(基于html的)内存损坏漏洞 | No | No | 8.4 |
| cve - 2024 - 38219 | Microsoft Edge(基于chromium)远程代码执行漏洞 | No | No | 6.5 |
| cve - 2024 - 7536 | Chromium: cve - 2024 - 7550 V8中的类型混淆 | No | No | N/A |
| cve - 2024 - 7535 | Chromium: cve - 2024 - 7536免费后在WebAudio中使用 | No | No | N/A |
| cve - 2024 - 7534 | Chromium: cve - 2024 - 7535 V8中不适当的实现 | No | No | N/A |
| cve - 2024 - 7533 | Chromium: cve - 2024 - 7534布局中的堆缓冲区溢出 | No | No | N/A |
| cve - 2024 - 7532 | Chromium: cve - 2024 - 7533免费共享后使用 | No | No | N/A |
| cve - 2024 - 7550 | Chromium: cve - 2024 - 7532在ANGLE中越界访问内存 | No | No | N/A |
| cve - 2024 - 7256 | Chromium: cve - 2024 - 7256黎明数据验证不足 | No | No | N/A |
| cve - 2024 - 7255 | Chromium: cve - 2024 - 7255 WebTransport读取越界 | No | No | N/A |
| cve - 2024 - 6990 | Chromium: cve - 2024 - 6990黎明未初始化使用 | No | No | N/A |
| cve - 2024 - 38222 | Microsoft Edge(基于chromium)信息泄露漏洞 | No | No | N/A |
开发人员工具漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 38168 | .. NET和Visual Studio拒绝服务漏洞 | No | No | 7.5 |
| cve - 2024 - 38157 | Azure IoT SDK远程代码执行漏洞 | No | No | 7 |
| cve - 2024 - 38158 | Azure IoT SDK远程代码执行漏洞 | No | No | 7 |
| cve - 2024 - 38167 | .. NET和Visual Studio信息泄露漏洞 | No | No | 6.5 |
水手Windows ESU漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2022 - 2601 | Redhat: cve - 2022 - 2601 grub2 - grub_font_construct_glyph()中的缓冲区溢出可能导致写溢出并可能导致安全启动绕过 | No | No | 8.6 |
| cve - 2022 - 3775 | Redhat: cve - 2022 - 3775 grub2 -在渲染某些Unicode序列时基于堆的越界写入 | No | No | 7.1 |
Microsoft Dynamics漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 38166 | Microsoft Dynamics 365跨站点脚本漏洞 | No | No | 8.2 |
| cve - 2024 - 38211 | Microsoft Dynamics 365(本地)跨站点脚本漏洞 | No | No | 8.2 |
Microsoft Office漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 38189 | 微软项目远程代码执行漏洞 | 是的 | No | 8.8 |
| cve - 2024 - 38206 | Microsoft Copilot Studio信息泄露漏洞 | No | No | 8.5 |
| cve - 2024 - 38171 | Microsoft PowerPoint远程代码执行漏洞 | No | No | 7.8 |
| cve - 2024 - 38084 | Microsoft OfficePlus特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38169 | Microsoft Office Visio远程代码执行漏洞 | No | No | 7.8 |
| cve - 2024 - 38172 | Microsoft Excel远程代码执行漏洞 | No | No | 7.8 |
| cve - 2024 - 38170 | Microsoft Excel远程代码执行漏洞 | No | No | 7.1 |
| cve - 2024 - 38173 | Microsoft Outlook远程代码执行漏洞 | No | No | 6.7 |
| cve - 2024 - 38197 | 微软iOS欺骗漏洞团队 | No | No | 6.5 |
| cve - 2024 - 38200 | Microsoft Office欺骗漏洞 | No | 是的 | 6.5 |
Windows操作系统漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 38159 | Windows网络虚拟化远程代码执行漏洞 | No | No | 9.1 |
| cve - 2024 - 38160 | Windows网络虚拟化远程代码执行漏洞 | No | No | 9.1 |
| cve - 2024 - 38163 | Windows更新堆栈特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38142 | Windows安全内核模式特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38135 | Windows弹性文件系统(ReFS)特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38184 | Windows内核模式驱动程序特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38185 | Windows内核模式驱动程序特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38186 | Windows内核模式驱动程序特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38187 | Windows内核模式驱动程序特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38133 | Windows内核特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38150 | Windows DWM核心库特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38215 | Windows Cloud Files迷你过滤器驱动程序特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38147 | Microsoft DWM核心库特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38148 | Windows安全通道拒绝服务漏洞 | No | No | 7.5 |
| cve - 2024 - 38138 | Windows部署服务远程代码执行漏洞 | No | No | 7.5 |
| cve - 2024 - 38202 | Windows更新堆栈特权提升漏洞 | No | 是的 | 7.3 |
| cve - 2024 - 38136 | Windows资源管理器PSM服务扩展特权提升漏洞 | No | No | 7 |
| cve - 2024 - 38137 | Windows资源管理器PSM服务扩展特权提升漏洞 | No | No | 7 |
| cve - 2024 - 38106 | Windows内核特权提升漏洞 | 是的 | No | 7 |
| cve - 2024 - 38161 | Windows Mobile宽带驱动程序远程代码执行漏洞 | No | No | 6.8 |
| cve - 2024 - 21302 | Windows安全内核模式特权提升漏洞 | No | 是的 | 6.7 |
| cve - 2024 - 38165 | Windows压缩文件夹篡改漏洞 | No | No | 6.5 |
| cve - 2024 - 38155 | 安全中心代理信息泄露漏洞 | No | No | 5.5 |
| cve - 2024 - 38123 | Windows蓝牙驱动程序信息泄露漏洞 | No | No | 4.4 |
| cve - 2024 - 38143 | Windows WLAN AutoConfig服务权限提升漏洞 | No | No | 4.2 |
Windows ESU漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 38063 | Windows TCP/IP远程代码执行漏洞 | No | No | 9.8 |
| cve - 2024 - 38140 | Windows可靠组播传输驱动程序(RMCAST)远程代码执行漏洞 | No | No | 9.8 |
| cve - 2024 - 38199 | Windows Line Printer Daemon (LPD)服务远程代码执行漏洞 | No | 是的 | 9.8 |
| cve - 2024 - 38180 | Windows SmartScreen安全功能绕过漏洞 | No | No | 8.8 |
| cve - 2024 - 38121 | Windows路由和远程访问服务(RRAS)远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 38128 | Windows路由和远程访问服务(RRAS)远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 38130 | Windows路由和远程访问服务(RRAS)远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 38154 | Windows路由和远程访问服务(RRAS)远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 38120 | Windows路由和远程访问服务(RRAS)远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 38114 | Windows IP路由管理Snapin远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 38115 | Windows IP路由管理Snapin远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 38116 | Windows IP路由管理Snapin远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 38144 | 内核流WOW Thunk Service驱动程序特权提升漏洞 | No | No | 8.8 |
| cve - 2024 - 38131 | 剪贴板虚拟通道扩展远程代码执行漏洞 | No | No | 8.8 |
| cve - 2023 - 40547 | Redhat: cve - 2023 - 40547 HTTP启动支持中的Shim - RCE可能导致安全启动绕过 | No | No | 8.3 |
| cve - 2024 - 29995 | Windows Kerberos特权提升漏洞 | No | No | 8.1 |
| cve - 2024 - 38107 | Windows电源依赖协调器特权提升漏洞 | 是的 | No | 7.8 |
| cve - 2024 - 38152 | Windows OLE远程代码执行漏洞 | No | No | 7.8 |
| cve - 2024 - 38153 | Windows内核特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38127 | Windows Hyper-V特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38196 | Windows通用日志文件系统驱动程序特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38193 | WinSock特权提升漏洞的Windows辅助功能驱动程序 | 是的 | No | 7.8 |
| cve - 2024 - 38141 | WinSock特权提升漏洞的Windows辅助功能驱动程序 | No | No | 7.8 |
| cve - 2024 - 38117 | NTFS特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38125 | 内核流WOW Thunk Service驱动程序特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38134 | 内核流WOW Thunk Service驱动程序特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38191 | 内核流服务驱动程序特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 38198 | Windows打印假脱机程序特权提升漏洞 | No | No | 7.5 |
| cve - 2024 - 38126 | Windows网络地址转换(NAT)拒绝服务漏洞 | No | No | 7.5 |
| cve - 2024 - 38132 | Windows网络地址转换(NAT)拒绝服务漏洞 | No | No | 7.5 |
| cve - 2024 - 38145 | Windows Layer-2 Bridge网络驱动程序拒绝服务漏洞 | No | No | 7.5 |
| cve - 2024 - 38146 | Windows Layer-2 Bridge网络驱动程序拒绝服务漏洞 | No | No | 7.5 |
| cve - 2024 - 37968 | Windows DNS欺骗漏洞 | No | No | 7.5 |
| cve - 2024 - 38178 | 脚本引擎内存损坏漏洞 | 是的 | No | 7.5 |
| cve - 2024 - 38223 | Windows初始机器配置特权提升漏洞 | No | No | 6.8 |
| cve - 2024 - 38214 | Windows路由和远程访问服务(RRAS)信息泄露漏洞 | No | No | 6.5 |
| cve - 2024 - 38213 | Web安全特性绕过漏洞的Windows标记 | 是的 | No | 6.5 |
| cve - 2024 - 38151 | Windows内核信息泄露漏洞 | No | No | 5.5 |
| cve - 2024 - 38118 | Microsoft本地安全授权(LSA)服务器信息泄露漏洞 | No | No | 5.5 |
| cve - 2024 - 38122 | Microsoft本地安全授权(LSA)服务器信息泄露漏洞 | No | No | 5.5 |
更新
- 2024-08-14:对motwbypass cve - 2024 - 38213与相关旧漏洞的比较进行了轻微修正/澄清.
- 2024-08-16:增加IPv6临界RCE cve - 2024 - 38063的讨论.
