微软 10 月份的安全更新解决了大量 117 个漏洞,其中包括两个已被利用的漏洞和三个公开披露但尚未被利用的漏洞。
就已披露的 CVE 而言,此次更新是今年迄今为止的第三大更新,仅次于 4 月份的 147 个 CVE 和 7 月份的 139 个漏洞。
其中大部分漏洞(46 个)可实现远程代码执行(RCE),另有 28 个漏洞为威胁行为者提供了提升权限的途径。其余的漏洞包括那些可以实现欺骗、拒绝服务和其他恶意结果的漏洞。一如既往,CVE 影响了微软的各种技术,包括 Windows 操作系统、微软的 Hyper-V 虚拟化技术、Windows Kerberos、Azure、Power BI 和 .NET 组件。
被积极利用的漏洞
在 10 月份的更新中,攻击者正在积极利用的两个漏洞也是值得立即关注的漏洞。
其中一个是 CVE-2024-43573,这是 MSHTML 或 Internet Explorer 的 Trident 传统浏览引擎中的一个欺骗漏洞。该漏洞类似于微软分别于 7 月和 9 月披露的 MSHTML 中的 CVE-2024-38112 和 CVE-2024-43461,Void Banshee 组织一直在积极利用这两个漏洞。该漏洞还有一个不同寻常之处: 微软没有对报告或发现该漏洞的任何人进行表彰。
趋势科技 “零日计划”(Zero Day Initiative)的研究人员在一篇博文中写道:”企业不应该因为微软对 CVE-2024-43573 的中度严重性评估而认为该漏洞不值得立即关注。“ZDI的博文指出:”微软没有透露是否是[Void Banshee],但考虑到这里没有承认,这让我觉得原来的补丁不够充分。“无论如何,都不要因为严重性评级而忽视这个问题。迅速测试并部署此更新。”
攻击者目前正在利用的另一个零日是 CVE-2024-43572,这是 Microsoft Management Console(MMC)中的一个 RCE 漏洞。微软表示,其补丁可以防止 “不受信任的 Microsoft Saved Console (MSC) 文件被打开,以保护客户免受与此漏洞相关的风险”。
今年早些时候,Elastic Security公司的研究人员报告称,观察到威胁行为者使用特制的MMC文件(被称为GrimResource)进行初始访问和防御规避。不过,目前还不清楚攻击者是利用了 CVE-2024-43572 还是其他漏洞。微软在最近的补丁更新中没有解决这个问题。
公开但暂时未被利用的漏洞
微软在 10 月份的安全更新中披露了另外三个零日漏洞,但攻击者尚未利用,它们是开源 cURLl 命令行工具中的远程代码执行漏洞 CVE-2024-6197;Windows Hyper-V 中的中度安全绕过漏洞 CVE-2024-20659;以及 WinLogon 权限提升漏洞 CVE-2024-43583。
Action 1总裁兼联合创始人迈克-沃尔特斯(Mike Walters)说,企业应优先修补CVE-2024-6197。尽管微软已将该漏洞评估为攻击者不太可能利用的漏洞,但Walters预计很快就会看到针对该漏洞的概念验证代码。“Walters在一篇博文中写道:”这个漏洞尤其令人担忧,因为它影响了cURL内存管理的基本架构,而cURL是跨各种网络协议进行数据传输不可或缺的工具。“受影响的系统包括那些使用 cURL 或 libcurl 的系统,cURL 或 libcurl 是为不同平台上众多应用程序提供支持的底层库。
同时,使用允许用户使用不同语言键入的第三方输入法编辑器(IME)的组织尤其面临 CVE-2024-43583 的风险,这是一个 WinLogon 权限提升漏洞,Walters 补充道。“他说:”在全球企业或教育机构等对多语言支持至关重要的各种环境中,这个漏洞尤其重要。他说,攻击者可以利用该漏洞作为更广泛的攻击链的一部分,入侵受影响的环境。
其他需要立即关注的关键漏洞
在微软本周披露的 117 个漏洞中,只有三个被评估为关键漏洞。这三个漏洞都是 RCE。它们分别是 Microsoft Configuration Manager 中的 CVE-2024-43468、远程桌面协议 (RDP) 服务器中的 CVE-2024-43582 和 Visual Studio Code extension for Arduino Remote 中的 CVE-2024-43488。
Automox 的研究人员 Cody Dietz 在一篇博文中写道,CVE-2024-43468 凸显了 Microsoft Configuration Manager 的一些内存安全问题。“成功利用这个漏洞可以在整个网络中进行横向移动,并有可能将恶意配置部署到其他系统。迪茨说,除了立即修补该漏洞外,企业还应考虑使用备用服务账户来降低风险。
Automox 还强调了 RDP 中的高严重性漏洞 CVE-2024-43533。该漏洞存在于 RDP 客户端中,攻击者可以在客户端机器上执行任意代码。“Automox 公司 IT 安全总监 Tom Bowyer 在公司博文中写道:”与针对服务器的典型 RDP 漏洞不同,这个漏洞翻转了脚本,提供了针对客户端的独特攻击向量。
“这个漏洞为反向黑客打开了大门,”鲍耶补充说,“攻击者会设置流氓 RDP 服务器,利用国家或安全公司等实体的扫描活动。”