0x00 背景介绍
2024年01月10日,天融信阿尔法实验室监测到微软官方发布了01月安全更新。此次更新共修复48个漏洞(不包含1个外部分配漏洞和本月早些时候发布的4个Edge漏洞),其中2个严重漏洞(Critical)、46个重要漏洞(Important)。权限提升漏洞10个、远程代码执行漏洞11个、信息泄露漏洞11个、拒绝服务漏洞6个、欺骗漏洞3个、安全功能绕过漏洞7个。
本次微软安全更新涉及组件包括:Windows MSHTML Platform、Windows Common Log File System Driver、Windows Win32K、Windows Kernel、Remote Desktop Client、Windows Cloud Files Mini Filter Driver、Microsoft Office SharePoint、Windows ODBC Driver、Windows Message Queuing等多个产品和组件。
CVE
|
漏洞名称
|
CVSS3.1
|
|
CVE-2024-20652
|
Windows HTML平台安全功能绕过漏洞
|
7.5/6.5
|
|
CVE-2024-20653
|
Windows通用日志文件系统驱动本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-20674
|
Windows Kerberos安全功能绕过漏洞
|
9.0/7.8
|
|
CVE-2024-20683
|
Windows Win32K本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-20686
|
Windows Win32K本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-20698
|
Windows Kernel本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-21307
|
Remote Desktop客户端远程代码执行漏洞
|
7.5/6.5
|
|
CVE-2024-21310
|
Windows Cloud Files微过滤器驱动本地权限提升漏洞
|
7.8/6.8
|
|
CVE-2024-21318
|
Microsoft SharePoint Server远程代码执行漏洞
|
8.8/7.7
|
如果通过传递带有Lanman重定向设备对象的设备路径的URL使API返回区域值“Intranet”,则MapURLToZone方法可能被攻击者绕过。WebDav设备也是如此。
成功利用此漏洞需要攻击者准备目标环境以提高利用可靠性,且需要进行普通用户身份认证。
经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
-
CVE-2024-20674:Windows Kerberos安全功能绕过漏洞
经过身份认证的局域网攻击者可以通过建立中间人攻击(MITM)或其他本地网络欺骗技术来利用此漏洞,然后向受害者客户机发送恶意Kerberos消息,以将自己欺骗为经过Kerberos身份认证的服务器。
要想利用此漏洞,需要攻击者在运行攻击之前首先获得对受限网络的访问权限。成功利用此漏洞可以绕过身份认证功能。
经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
-
CVE-2024-21307:Remote Desktop客户端远程代码执行漏洞
未经身份认证的远程攻击者通过搭建一个恶意的Remote Desktop服务端,并等待用户通过存在此漏洞的客户端连接此服务端来利用此漏洞。
要想利用此漏洞需要攻击者赢得竞争条件。成功利用此漏洞,可使攻击者在受害者系统中执行任意代码。
-
CVE-2024-21310:Windows Cloud Files微过滤器驱动本地权限提升漏洞
经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
-
CVE-2024-21318:Microsoft SharePoint Server远程代码执行漏洞
经过身份认证的远程攻击者(至少是站点所有者)可以在SharePoint服务器上远程注入和执行任意代码。
CVE
|
漏洞名称
|
CVSS3.1
|
|
CVE-2024-0056
|
Microsoft.Data.SqlClient和System.Data.SqlClient SQL数据提供程序安全功能绕过漏洞
|
8.7/7.6
|
|
CVE-2024-0057
|
.NET Framework和Visual Studio安全功能绕过漏洞
|
