主要观点总结
本文介绍了微软在2024年7月发布的安全更新,共修复了138个漏洞,其中涉及多个产品和组件。文章重点描述了本次更新中重点漏洞的信息,包括CVE编号、名称、CVSS评分、漏洞描述、漏洞利用可能性较大的漏洞以及高评分漏洞的详细信息。同时,文章还介绍了影响版本、修复建议、手动安装补丁的链接和天融信阿尔法实验室的介绍。
关键观点总结
关键观点1: 微软2024年7月安全更新概述
本次更新共修复138个漏洞,包括多个产品和组件,如Windows Hyper-V、Windows MSHTML Platform、Microsoft Office等。涉及权限提升漏洞、远程代码执行漏洞、信息泄露漏洞等多种类型。
关键观点2: 重点漏洞描述
本次更新中的重点漏洞包括多个高评分漏洞,如Windows Remote Desktop授权服务远程代码执行漏洞、Microsoft Defender for IoT权限提升漏洞等。这些漏洞的攻击者可以获得高权限,甚至可以在目标系统上下文中执行任意代码。
关键观点3: 影响版本
本次更新影响多个主流版本的Windows和多个主流版本的Microsoft系列软件。
关键观点4: 修复建议
Windows用户可以通过自动更新或手动安装补丁的方式来安装这些安全更新。对于不能自动更新的系统版本,可以参考提供的链接下载适用于该系统的7月补丁并安装。
关键观点5: 天融信阿尔法实验室介绍
天融信阿尔法实验室从事攻防技术研究,为安全领域前瞻性技术研究方向不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室提供强有力的技术支撑。
正文
0x00 背景介绍
2024年7月10日,天融信阿尔法实验室监测到微软官方发布了7月安全更新。此次更新共修复138个漏洞(不包含4个外部分配漏洞),其中5个严重漏洞(Critical)、132个重要漏洞(Important)、1个中危漏洞(Moderate)。其中权限提升漏洞24个、远程代码执行漏洞59个、信息泄露漏洞8个、拒绝服务漏洞17个、欺骗漏洞6个、安全功能绕过漏洞24个。
本次微软安全更新涉及组件包括:Windows Hyper-V、Windows MSHTML Platform、Microsoft Office、Microsoft Office SharePoint、Microsoft Streaming Service、Windows Win32K、Microsoft Windows Codecs Library、Microsoft Graphics Component、Windows Remote Desktop Licensing Service、Windows COM Session、SQL Server、Windows Secure Boot等多个产品和组件。
微软本次修复中,CVE-2024-38080和CVE-2024-38112被在野利用,CVE-2024-35264和CVE-2024-37985被公开披露。
|
CVE
|
漏洞名称
|
CVSS3.1
|
|
CVE-2024-38080
|
Windows Hyper-V本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-38112
|
Windows MSHTML平台欺骗漏洞
|
7.5/7.0
|
|
CVE-2024-35264
|
.NET和Visual Studio远程代码执行漏洞
|
8.1/7.1
|
该漏洞已发现在野利用。此漏洞是Windows Hyper-V中的整数溢出或环绕漏洞(CWE-190)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
-
CVE-2024-38112:Windows MSHTML平台欺骗漏洞
该漏洞已发现在野利用。此漏洞是Windows MSHTML平台中的资源暴露在错误的领域漏洞(CWE-668)。未经身份认证的远程攻击者通过向受害者发送恶意文件,并说服其打开该文件来利用此漏洞。由于此漏洞需要攻击者在利用之前准备目标环境,所以攻击复杂度较高。
-
CVE-2024-35264:.NET和Visual Studio远程代码执行漏洞
该漏洞被公开披露。此漏洞是.NET和Visual Studio中的释放后重用UAF漏洞(CWE-416)。未经身份认证的远程攻击者通过在处理请求主体时关闭http/3流来利用此漏洞。成功利用此漏洞的攻击者可以获得在目标系统上下文执行任意代码的能力。利用此漏洞需要攻击者赢得竞争条件。
CVE
|
漏洞名称
|
CVSS3.1
|
|
CVE-2024-38021
|
Microsoft Office远程代码执行漏洞
|
8.8/7.7
|
|
CVE-2024-38023
|
Microsoft SharePoint Server远程代码执行漏洞
|
7.2/6.3
|
|
CVE-2024-38024
|
Microsoft SharePoint Server远程代码执行漏洞
|
7.2/6.3
|
|
CVE-2024-38094
|
Microsoft SharePoint Server远程代码执行漏洞
|
7.2/6.3
|
|
CVE-2024-38052
|
Kernel Streaming WOW Thunk服务驱动本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-38054
|
Kernel Streaming WOW Thunk服务驱动本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-38059
|
Windows Win32k本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-38066
|
Windows Win32k本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-38060
|
Windows Imaging组件远程代码执行漏洞
|
8.8/7.7
|
|
CVE-2024-38079
|
Windows图形组件本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-38085
|
Windows图形组件本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-38099
|
Windows Remote Desktop授权服务拒绝服务漏洞
|
5.9/5.2
|
|
CVE-2024-38100
|
Windows File Explorer本地权限提升漏洞
|
7.8/6.8
|
此漏洞是Microsoft Office中的输入验证不当漏洞(CWE-20)。未经身份认证的远程攻击者通过向受害者发送一个绕过受保护视图协议的恶意链接,并说服其打开该链接来利用此漏洞。成功利用此漏洞的攻击者可以获得高权限,包括读取、写入和删除功能。
这些漏洞都是Microsoft SharePoint Server中的不受信任数据的反序列化漏洞(CWE-502)。经过身份认证且拥有站点所有者权限或更高权限的攻击者通过将特制文件上传到目标SharePoint Server,并制作专门的API请求以触发文件参数的反序列化来利用这些漏洞。成功利用这些漏洞的攻击者能够注入任意代码,并在SharePoint Server上下文中执行此代码。
-
CVE-2024-38052、CVE-2024-38054:Kernel Streaming WOW Thunk服务驱动本地权限提升漏洞
CVE-2024-38052是Kernel Streaming WOW Thunk服务驱动中的不正确的输入验证漏洞(CWE-20)。CVE-2024-38054是该驱动中的堆溢出漏洞(CWE-122)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
CVE-2024-38059和CVE-2024-38066都是Windows Win32k中的释放后重用UAF漏洞(CWE-416)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
该漏洞是Windows Imaging组件中的堆溢出漏洞(CWE-122)。经过普通用户身份认证的远程攻击者通过将恶意TIFF文件上传到服务器来利用此漏洞。成功利用此漏洞的攻击者能够在受害者系统上下文中执行任意代码。
-
CVE-2024-38079、CVE-2024-38085:Windows图形组件本地权限提升漏洞
