主要观点总结
本文介绍了天融信阿尔法实验室对微软近期发布的8月安全更新的监测结果。本次更新共修复了90个漏洞,其中包括多个严重的权限提升漏洞和远程代码执行漏洞。文章重点描述了其中的一些关键漏洞及其对应的安全风险,包括CVE-2024-38106、CVE-2024-38107等。同时,文章也提供了针对这些漏洞的临时缓解措施和高评分漏洞的详细信息。最后,文章还介绍了影响版本、修复建议、声明等内容。
关键观点总结
关键观点1: 本文介绍了微软8月安全更新的概况和重点漏洞
包括更新的总体情况、涉及的产品和组件、重点漏洞的名称、类型、CVSS评分及相关的风险描述。
关键观点2: 提供了针对重点漏洞的临时缓解措施
包括针对一些漏洞的临时解决方案,以帮助用户在没有安装补丁之前降低风险。
关键观点3: 介绍了影响版本和修复建议
包括哪些版本的Windows和Microsoft系列软件受到影响,以及如何进行修复,如自动更新和手动安装补丁的方法。
关键观点4: 声明和介绍
包括天融信阿尔法实验室的简介、成立时间、研究方向、专业技术水平和服务内容等。
正文
0x00 背景介绍
2024年8月14日,天融信阿尔法实验室监测到微软官方发布了8月安全更新。此次更新共修复90个漏洞(不包含3个外部分配漏洞和本月早些时候发布的9个Edge漏洞),其中7个严重漏洞(Critical)、80个重要漏洞(Important)、3个中危漏洞(Moderate)。其中权限提升漏洞36个、远程代码执行漏洞30个、信息泄露漏洞9个、拒绝服务漏洞6个、欺骗漏洞5个、安全功能绕过漏洞1个、XSS漏洞2个、篡改漏洞1个。
本次微软安全更新涉及组件包括:Windows Kernel、Windows Power Dependency Coordinator、Windows Scripting、Microsoft Office Project、Windows Ancillary Function Driver for WinSock、Windows Mark of the Web (MOTW)、Windows Secure Kernel Mode、Line Printer Daemon Service (LPD)、Microsoft Office、Windows Update Stack、Windows TCP/IP、Microsoft Streaming Service、Windows DWM Core Library、Windows Transport Security Layer (TLS)、Windows Common Log File System Driver、Windows Print Spooler Components等多个产品和组件。
微软本次修复中,CVE-2024-38106、CVE-2024-38107、CVE-2024-38178、CVE-2024-38189、CVE-2024-38193、CVE-2024-38213被在野利用,CVE-2024-21302、CVE-2024-38199、CVE-2024-38200、CVE-2024-38202被公开披露。
|
CVE
|
漏洞名称
|
CVSS3.1
|
|
CVE-2024-38106
|
Windows Kernel本地权限提升漏洞
|
7.0/6.5
|
|
CVE-2024-38107
|
Windows Power Dependency Coordinator本地权限提升漏洞
|
7.8/7.2
|
|
CVE-2024-38178
|
Jscript9脚本引擎内存损坏漏洞
|
7.5/7.0
|
|
CVE-2024-38189
|
Microsoft Project远程代码执行漏洞
|
8.8/8.2
|
|
CVE-2024-38193
|
Windows WinSock辅助功能驱动本地权限提升漏洞
|
7.8/7.2
|
|
CVE-2024-38213
|
Windows网络标记(MOTW)安全功能绕过漏洞
|
6.5/6.0
|
|
CVE-2024-21302
|
Windows Secure Kernel Mode本地权限提升漏洞
|
6.7/6.1
|
|
CVE-2024-38199
|
Windows Line Printer Daemon(LPD)服务远程代码执行漏洞
|
9.8/8.5
|
|
CVE-2024-38200
|
Microsoft Office欺骗漏洞
|
6.5/5.7
|
|
CVE-2024-38202
|
Windows Update Stack本地权限提升漏洞
|
7.3/6.9
|
该漏洞已发现在野利用。此漏洞是Windows Kernel中的敏感数据存储于加锁不恰当的内存区域漏洞(CWE-591)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。成功利用此漏洞需要攻击者赢得竞争条件。
-
CVE-2024-38107:Windows Power Dependency Coordinator本地权限提升漏洞
该漏洞已发现在野利用。此漏洞是Windows Power Dependency Coordinator中的释放后重用UAF漏洞(CWE-416)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
-
CVE-2024-38178:Jscript9脚本引擎内存损坏漏洞
该漏洞已发现在野利用。此漏洞是Windows Jscript9脚本引擎中的类型混淆漏洞(CWE-843)。未经身份认证的远程攻击者通过向经过身份认证的受害者发送特制的URL,并说服受害者用Edge打开该URL来利用此漏洞,成功利用此漏洞的攻击者可以获得在受害者系统上下文执行任意代码的能力。此漏洞在Microsoft Edge的Internet Explorer模式下触发。
-
CVE-2024-38189:Microsoft Project远程代码执行漏洞
该漏洞已发现在野利用。此漏洞是Microsoft Project中的不正确输入验证漏洞(CWE-20)。要利用该漏洞,需要受害者在系统上打开恶意的Microsoft Office Project文件,但该系统中的“阻止宏通过Internet在Office文件中运行”策略已被禁用,并且“VBA宏通知设置”也未启用,从而允许攻击者执行远程代码执行。此漏洞可通过“电子邮件”和“Web网站”两种场景进行利用。
-
CVE-2024-38193:Windows WinSock辅助功能驱动本地权限提升漏洞
该漏洞已发现在野利用。此漏洞是Windows WinSock辅助功能驱动中的释放后重用UAF漏洞(CWE-416)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
-
CVE-2024-38213:Windows网络标记(MOTW)安全功能绕过漏洞
该漏洞已发现在野利用。此漏洞是Windows网络标记(MOTW)中的保护机制缺失漏洞(CWE-693)。远程攻击者通过受害者发送恶意文件并诱使他们打开它来利用此漏洞,成功利用此漏洞的攻击者可以绕过SmartScreen安全功能。
-
CVE-2024-21302:Windows Secure Kernel Mode本地权限提升漏洞
该漏洞被公开披露。此漏洞是Windows Secure Kernel Mode中的不正确访问控制漏洞(CWE-284)。此漏洞允许具有管理员权限的攻击者将当前版本的Windows系统文件替换为旧版本。通过利用此漏洞,攻击者可以重新引入之前已缓解的漏洞,绕过VBS的某些功能,并窃取受VBS保护的数据。
-
CVE-2024-38199:Windows Line Printer Daemon(LPD)服务远程代码执行漏洞
该漏洞被公开披露。此漏洞是Windows Line Printer Daemon(LPD)服务中的释放后重用UAF漏洞(CWE-416)。未经身份认证的远程攻击者通过向共享的易受攻击的Windows行式打印机守护程序(LPD)服务发送特制的打印任务来利用此漏洞,成功利用此漏洞可能导致在服务器上执行任意代码。
-
CVE-2024-38200:Microsoft Office欺骗漏洞
该漏洞被公开披露。此漏洞是Microsoft Office中的向未经授权的行为者泄露敏感信息漏洞(CWE-200)。远程攻击者通过创建一个恶意网站(其中包含利用此漏洞的特制文件),然后向受害者发送该网站的链接,并说服受害者点击该链接和打开文件来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的NTLM凭据。
-
CVE-2024-38202:Windows Update Stack本地权限提升漏洞
该漏洞被公开披露。此漏洞是Windows Update Stack中的不正确的访问控制漏洞(CWE-284)。具有基本用户权限的攻击者能够重新引入之前已缓解的漏洞或绕过VBS的某些功能。要成功利用此漏洞,攻击者必须说服或诱骗管理用户执行系统还原。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
CVE
|
漏洞名称
|
CVSS3.1
|
|
CVE-2024-38063
|
Windows TCP/IP远程代码执行漏洞
|
9.8/8.5
|
|
CVE-2024-38125
|
Kernel Streaming WOW Thunk服务驱动本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-38144
|
Kernel Streaming WOW Thunk服务驱动权限提升漏洞
|
8.8/7.7
|
|
CVE-2024-38133
|
Windows Kernel本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-38141
|
Windows WinSock辅助功能驱动本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-38147
|
Microsoft DWM核心库本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-38150
|
Microsoft DWM核心库本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-38148
|
Windows Secure Channel拒绝服务漏洞
|
7.5/6.5
|
|
CVE-2024-38163
|
Windows Update Stack本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-38196
|
Windows通用日志文件系统驱动本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-38198
|
Windows Print Spooler权限提升漏洞
|
7.5/6.5
|
此漏洞是Windows TCP/IP中的整数下溢或回绕漏洞(CWE-191)。未经身份认证的攻击者可以向Windows计算机反复发送包含特制数据包的IPv6数据包,从而可以实现远程代码执行。
临时缓解措施:如果目标系统禁用IPv6,系统不会受到影响。
CVE-2024-38125是Kernel Streaming WOW Thunk服务驱动中的数字截断错误(CWE-197)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
CVE-2024-38144是Kernel Streaming WOW Thunk服务驱动中的整数上溢或回绕漏洞(CWE-190)。经过普通用户身份认证的远程攻击者通过将特制的数据传递给目标系统来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
