0x00 背景介绍
2024年10月09日,天融信阿尔法实验室监测到微软官方发布了10月安全更新。此次更新共修复117个漏洞,其中3个严重漏洞(Critical)、112个重要漏洞(Important)、2个中危漏洞(Moderate)。其中权限提升漏洞28个、远程代码执行漏洞42个、信息泄露漏洞6个、拒绝服务漏洞26个、欺骗漏洞7个、安全功能绕过漏洞7个、篡改漏洞1个。
本次微软安全更新涉及组件包括:Microsoft Management Console、Windows MSHTML Platform、Windows Hyper-V、Winlogon、Windows Kernel、Microsoft Graphics Component、Windows Storage Port Driver、OpenSSH for Windows、Microsoft Office、Remote Desktop Client、Windows Remote Desktop Services、Windows Routing and Remote Access Service (RRAS)、Windows Mobile Broadband等多个产品和组件。
微软本次修复中,CVE-2024-43572、CVE-2024-43573被在野利用,且CVE-2024-20659、CVE-2024-43583被公开披露。
|
CVE
|
漏洞名称
|
CVSS3.1
|
|
CVE-2024-43572
|
Microsoft Management Console远程代码执行漏洞
|
7.8/7.2
|
|
CVE-2024-43573
|
Windows MSHTML平台欺骗漏洞
|
6.5/6.0
|
|
CVE-2024-20659
|
Windows Hyper-V安全功能绕过漏洞
|
7.1/6.6
|
|
CVE-2024-43583
|
Winlogon本地权限提升漏洞
|
7.8/6.8
|
此漏洞已发现在野利用。此漏洞是Microsoft Management Console中的对消息或数据结构的处理不当漏洞(CWE-707)。未经身份认证的远程攻击者说服受害者下载特制的Microsoft保存的控制台(MSC)文件并打开它来利用此漏洞。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。
-
CVE-2024-43573:Windows MSHTML平台欺骗漏洞
此漏洞已发现在野利用。此漏洞是Windows MSHTML平台中的XSS漏洞(CWE-79)。未经身份认证的远程攻击者说服受害者访问特制的链接来利用此漏洞。成功利用此漏洞的攻击者可以在用户浏览器中执行任意HTML和脚本代码。
-
CVE-2024-20659:Windows Hyper-V安全功能绕过漏洞
此漏洞已被公开披露。此漏洞是Windows Hyper-V中的不正确输入验证漏洞(CWE-20)。未经身份认证的局域网攻击者通过向目标系统发送特制的数据包来利用此漏洞。成功利用此漏洞的攻击者可以绕过UEFI,这可能导致虚拟机管理程序和安全内核受到损坏。攻击者要成功利用此漏洞,需要用户重新启动其机器。
-
CVE-2024-43583:Winlogon本地权限提升漏洞
此漏洞已被公开披露且利用可能性较大。此漏洞是Windows Winlogon组件中的以不必要的权限执行漏洞(CWE-250)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
CVE
|
漏洞名称
|
CVSS3.1
|
|
CVE-2024-43502
|
Windows Kernel本地权限提升漏洞
|
7.1/6.2
|
|
CVE-2024-43509
|
Windows图形组件本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-43556
|
Windows图形组件本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-43560
|
Windows Storage Port驱动本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-43581
|
Windows OpenSSH远程代码执行漏洞
|
7.1/6.2
|
|
CVE-2024-43615
|
Windows OpenSSH远程代码执行漏洞
|
7.1/6.2
|
|
CVE-2024-43609
|
Microsoft Office欺骗漏洞
|
6.5/5.7
|
此漏洞是Windows Kernel中的使用未初始化资源漏洞(CWE-908)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。此漏洞允许攻击者泄露内核信息或使服务不可用,但不允许攻击者修改任何数据。
这些漏洞都是Windows图形组件中的释放后重用UAF漏洞(CWE-416)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
-
CVE-2024-43560:Windows Storage Port驱动本地权限提升漏洞
此漏洞是Windows Storage Port驱动中的堆溢出漏洞(CWE-122)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
这些漏洞都是Windows OpenSSH中的文件名或路径的外部控制漏洞(CWE-73)。成功利用这些漏洞需要攻击者能够访问目标文件运行的位置,然后植入一个特定文件,用于漏洞利用;且需要诱导受害者执行特定的文件管理操作来触发漏洞。
