攻击者正在积极利用 Microsoft 在其 8 月份的安全更新中披露的 90 个漏洞中的多达 6 个漏洞，使它们成为管理员在本周二补丁中的首要任务。

Microsoft 更新中的另外四个 CVE 在 8 月 13 日披露之前就已公开，这也使它们成为某种零日漏洞，尽管攻击者尚未开始利用它们。其中，Windows 更新堆栈中的特权提升 （EoP） 错误（被跟踪为 CVE-2024-38202）尤其令人不安，因为 Microsoft 还没有针对它的补丁。

未打补丁的零日漏洞

据Microsoft称，未修补的漏洞允许具有“基本用户权限”的攻击者重新引入以前缓解的漏洞或规避基于虚拟化的安全性（VBS）的某些功能。该公司已将该漏洞评估为仅具有中等严重性，因为攻击者需要欺骗具有委托权限的管理员或用户执行系统还原。

然而，Tenable 的研究工程师 Scott Caveza 表示，如果攻击者将 CVE-2024-38202 与 CVE-2024-21302（当前更新中影响 Windows 安全内核的 EoP 漏洞）链接起来，他们将能够回滚软件更新，而无需与特权用户进行任何交互。“根据 Microsoft 的说法，CVE-2024-38202 确实需要’特权用户的额外交互’，”他说。“但是，CVE-2024-21302 的链接允许攻击者降级或回滚软件版本，而无需与具有提升权限的受害者进行交互。”

Caveza说，每个漏洞都可以单独利用，但当它们结合起来时，可能会产生更重大的影响。

总的来说，Microsoft本周披露的七个错误被评为严重错误。该公司将79个CVE（包括攻击者正在积极利用的零日漏洞）评为“重要”或中等严重性，因为它们涉及一定程度的用户交互或攻击者可以利用的其他要求。“虽然这不是最大的版本，但在一个版本中看到如此多的错误被列为公开或受到积极攻击是不寻常的，”趋势微零日计划（ZDI）的威胁意识主管Dustin Childs在一篇博客文章中说。

被积极利用的零日漏洞

其中两个受到主动攻击的漏洞可在受影响的系统上启用远程代码执行 （RCE）。其中一个 CVE-2024-38189 会影响 Microsoft Project 远程代码，并影响在其系统上禁用 VBA 宏通知设置的组织。在这些情况下，如果攻击者能够诱使用户打开恶意的 Microsoft Office Project 文件，则他们可以远程执行任意代码。“在 Project 中看到代码执行错误肯定很奇怪，但我们这里不仅有一个，而且它在野外被利用，”Childs 说。“在大多数情况下，这是典型的开放式错误，但在这种情况下，目标允许宏从 Internet 运行。”

Microsoft 最新更新中的另一个零日随机化漏洞是 CVE-2024-38178，这是 Windows 脚本引擎内存或脚本主机中的内存损坏漏洞。“成功利用此漏洞需要攻击者首先准备目标，以便它在Internet Explorer模式下使用Edge：用户必须单击特别构建的URL才能受到攻击，”Microsoft说。

Immersive Labs威胁研究高级主管Kev Breen表示，虽然IE目前不是大多数用户的默认模式，但攻击者正在积极利用该漏洞的事实表明，有些组织正在使用这种配置。Breen在一份电子邮件声明中说：“Internet Explorer模式用于专门为Internet Explorer构建的旧网站或应用程序，并且不受现代HTML5浏览器（如基于Chromium的浏览器）的支持。“对于这些站点和应用程序，组织或用户可以启用此传统模式以保持与这些应用程序的兼容性”，因此可能会因新披露的漏洞而面临风险。

攻击者正在积极利用的此更新中的三个零日漏洞（CVE-2024-38106、CVE-2024-38107 和 CVE-2024-38193）使攻击能够将权限提升到系统管理员状态。

其中，CVE-2024-38106 尤为严重，因为它存在于 Windows 内核中。Action 1 总裁兼首席执行官 Mike Walters 在电子邮件评论中表示：“CVE-2024-38106 的根本问题源于竞争条件与 Windows 内核中不正确的内存处理相结合。如果攻击者可以通过精确的时机赢得竞争条件，“那么应该保护在锁定内存中的敏感数据在可访问和可修改的区域中却容易受到攻击。

Windows 电源依赖项中的 CVE-2024-38107 和 WinSock 的 Windows 辅助功能驱动程序中的 CVE-2024-38193 也使攻击者能够获得系统级权限。Breen说，这三个EoP缺陷会影响操作系统的不同核心组件。“攻击者已经需要在受害者机器上获得代码执行，无论是通过横向移动还是其他漏洞，例如恶意文档，”才能利用这些漏洞。

另一个被积极利用的零日漏洞是 CVE-2024-38213，该漏洞允许攻击者绕过 Windows 网页标记 （MoTW） 安全保护。该漏洞类似于 MoTW 中的其他类似漏洞，并为攻击者提供了一种将恶意文件和 Web 内容潜入企业环境的方法，而不会将它们标记为不受信任。“这个漏洞本身是不可利用的，”Breen说，“通常被视为漏洞利用链的一部分，例如，在通过电子邮件发送文件或在受感染的网站上分发之前，修改恶意文档或exe文件以包含此绕过。