0x00 背景介绍
2024年05月15日,天融信阿尔法实验室监测到微软官方发布了05月安全更新。此次更新共修复60个漏洞(不包含2个外部分配漏洞和本月早些时候发布的6个Edge漏洞),其中1个严重漏洞(Critical)、57个重要漏洞(Important)、1个中危漏洞(Moderate)、1个低危漏洞(Low)。其中权限提升漏洞17个、远程代码执行漏洞25个、信息泄露漏洞7个、拒绝服务漏洞3个、欺骗漏洞5个、安全功能绕过漏洞2个、篡改漏洞1个。
本次微软安全更新涉及组件包括:Windows MSHTML Platform、Windows DWM Core Library、Windows Common Log File System Driver、Windows Cloud Files Mini Filter Driver、Windows Win32K、Microsoft Office SharePoint、Windows Mobile Broadband、Windows Routing and Remote Access Service (RRAS)、Windows Hyper-V等多个产品和组件。
微软本次修复中,CVE-2024-30040、CVE-2024-30051已发现在野利用,CVE-2024-30046、CVE-2024-30051被公开披露。
|
CVE
|
漏洞名称
|
CVSS3.1
|
|
CVE-2024-30040
|
Windows MSHTML平台安全功能绕过漏洞
|
8.8/8.2
|
|
CVE-2024-30051
|
Windows DWM核心库本地权限提升漏洞
|
7.8/7.2
|
该漏洞已发现在野利用。该漏洞是Windows MSHTML平台中的不正确的输入验证漏洞(CWE-20)。未经身份认证的远程攻击者通过说服用户打开恶意文档来获得代码执行权限,此时攻击者可以在用户的上下文中执行任意代码。
成功利用此漏洞的攻击者,可以绕过Microsoft 365和Microsoft Office中的OLE缓解措施,这些缓解措施可保护用户免受易受攻击的COM/OLE控件的侵害。
-
CVE-2024-30051:Windows DWM核心库本地权限提升漏洞
该漏洞已发现在野利用,且被公开披露。该漏洞是Windows DWM核心库中的堆溢出漏洞(CWE-122)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
CVE
|
漏洞名称
|
CVSS3.1
|
|
CVE-2024-29996
|
Windows通用日志文件系统驱动本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-30025
|
Windows通用日志文件系统驱动本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-30037
|
Windows通用日志文件系统驱动本地权限提升漏洞
|
7.5/6.5
|
|
CVE-2024-30032
|
Windows DWM核心库本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-30035
|
Windows DWM核心库本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-30034
|
Windows Cloud Files微过滤器驱动信息泄露漏洞
|
5.5/4.8
|
|
CVE-2024-30038
|
Windows Win32k本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-30049
|
Windows Win32k本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-30044
|
Microsoft SharePoint Server远程代码执行漏洞
|
8.8/7.7
|
|
CVE-2024-30050
|
Windows网络标记(MOTW)安全功能绕过漏洞
|
5.4/5.0
|
这些漏洞都是Windows通用日志文件系统驱动中的越界读漏洞(CWE-125)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
这些漏洞都是Windows DWM核心库中的释放后重用漏洞(CWE-416)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
-
CVE-2024-30034:Windows Cloud Files微过滤器驱动信息泄露漏洞
该漏洞是Windows Cloud Files微过滤器驱动中的类型混淆漏洞(CWE-843)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以泄露某些内核内存内容。
CVE-2024-30038是Windows Win32k中的堆溢出漏洞(CWE-122)。CVE-2024-30049是Windows Win32k中的释放后重用漏洞(CWE-416)。
经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
此漏洞是Microsoft SharePoint Server中的不可信数据的反序列化漏洞(CWE-502)。具有站点所有者或更高权限的经过身份认证的远程攻击者可以将特制文件上传到目标SharePoint Server,并构造特殊的API请求以触发文件参数的反序列化。这将使攻击者能够在目标SharePoint Server的上下文中执行远程代码。
-
CVE-2024-30050:Windows网络标记(MOTW)安全功能绕过漏洞
为了利用此漏洞,攻击者可以在攻击者控制的服务器上托管文件,然后诱使目标用户下载并打开该文件。这可能允许攻击者绕过网络标记(Mark of the Web,MOTW)安全功能。
