微软2024年7月补丁日重点漏洞安全预警

补丁概述

2024 年 7 月 9 日，微软官方发布了 7 月安全更新，针对 139 个 Microsoft CVE（其中 CVE-2024-38075 列在本月更新记录中，但并未公开漏洞详情）和 4 个 non-Microsoft CVE 进行修复。已公开详情的 Microsoft CVE 中，包含 5 个严重漏洞（Critical）、132 个重要漏洞（Important）和 1 个中危漏洞（Moderate）。从漏洞影响上看，有 59 个远程代码执行漏洞、24 个权限提升漏洞、24 个安全功能绕过漏洞、17 个拒绝服务漏洞、8 个信息泄露漏洞和 6 个欺骗漏洞。

已公开详情的 138 个漏洞中，目前有漏洞 CVE-2024-38112、CVE-2024-38080 被发现在野利用，漏洞 CVE-2024-35264 和 CVE-2024-37985（non-Microsoft CVE）已被公开披露，有 13 个利用可能性较大的漏洞。

本次安全更新涉及多个 Windows 主流版本，包括 Windows 10、Windows 11、Windows Server 2022 等；涉及多款主流产品和组件，如 SQL Server、Windows 安全启动、Windows 远程桌面授权服务、Microsoft Office SharePoint 等。

本次安全更新包含了由山石网科信创安全实验室报告的 Win32k 特权提升漏洞（CVE-2024-38059）的修复，漏洞详情见：Self Destruction To Use After Free In Kernel：CVE-2024-38059分析记录。

重点关注漏洞

在野利用和公开披露漏洞

CVE

CVSS

Tag

CVE-2024-38080

7.8

Role: Windows Hyper-V

CVE-2024-38112

7.5

Windows MSHTML 平台

CVE-2024-35264

8.1

.NET 和 Visual Studio

CVE-2024-37985

5.9

Intel

• CVE-2024-38080：Windows Hyper-V 特权提升漏洞，已被发现在野利用。整数溢出或环绕（CWE-190）缺陷，成功利用此漏洞的攻击者可以获得 SYSTEM 权限。

• CVE-2024-38112：Windows MSHTML 平台欺骗漏洞，已被发现在野利用。成功利用此漏洞需要攻击者在利用此漏洞之前采取额外的操作来准备目标环境，攻击者必须向受害者发送恶意文件，受害者必须执行该文件。

• CVE-2024-35264：.NET 和 Visual Studio 远程代码执行漏洞，已被公开披露。成功利用此漏洞需要攻击者赢得竞争条件，攻击者可以通过在处理请求正文时关闭 http/3 流来利用此漏洞，这会导致远程代码执行。

• CVE-2024-37985：Intel 漏洞，Arm：CVE-2024-37985 专有预取器的系统识别和表征，已被公开披露。成功利用此漏洞需要攻击者在利用此漏洞之前采取额外的操作来准备目标环境，成功利用后可以查看服务器上运行的特权进程的堆内存。

  ‍

利用可能性较大的漏洞

CVE

CVSS

Tag

CVE-2024-38021

8.8

Microsoft Office
‍‍‍

CVE-2024-38060

8.8‍‍‍

Windows 图像处理组件

CVE-2024-38052

7.8‍‍‍

Microsoft 流媒体服务

CVE-2024-38054

7.8

Microsoft 流媒体服务‍‍‍

CVE-2024-38059

7.8‍‍‍

Windows Win32K - ICOMP
‍‍‍

CVE-2024-38066

7.8‍‍‍

Windows Win32K - GRFX

CVE-2024-38079

7.8‍‍‍

Microsoft 图形组件
‍‍‍‍‍

CVE-2024-38085

7.8‍‍‍

Windows Win32 内核子系统
‍‍‍

CVE-2024-38100‍

7.8‍‍‍

Windows COM Session
‍‍‍

CVE-2024-38023

7.2‍‍‍

Microsoft Office SharePoint
‍‍‍

CVE-2024-38024

7.2

Microsoft Office SharePoint
‍‍‍

CVE-2024-38094

7.2

Microsoft Office SharePoint
‍‍‍

CVE-2024-38099

5.9‍‍‍

Windows 远程桌面授权服务
‍‍‍

• CVE-2024-38021：Microsoft Outlook 远程代码执行漏洞。攻击者可以制作绕过受保护视图协议的恶意链接，此攻击要求用户允许外部攻击者发送的被阻止内容，以启动远程代码执行。成功利用此漏洞的攻击者可以获得高权限，包括读取、写入和删除功能。

• CVE-2024-38060：Windows 图像处理组件远程代码执行漏洞，被标记为严重（Critical）漏洞。任何经过身份验证的攻击者都可能触发此漏洞，不需要管理员或其他提升的权限。经过身份验证的攻击者可以通过将恶意 TIFF 文件上传到服务器来利用此漏洞。

• CVE-2024-38052：内核流式处理 WOW Thunk 服务驱动程序特权提升漏洞。输入验证不当（CWE-20）缺陷，成功利用此漏洞的攻击者可以获得 SYSTEM 权限。

• CVE-2024-38054：内核流式处理 WOW Thunk 服务驱动程序特权提升漏洞。基于堆的缓冲区溢出（CWE-122）缺陷，成功利用此漏洞的攻击者可以获得 SYSTEM 权限。

• CVE-2024-38059：Win32k 特权提升漏洞。Use-After-Free（CWE-416）缺陷，成功利用此漏洞的攻击者可以获得 SYSTEM 权限，漏洞详情见：Self Destruction To Use After Free In Kernel：CVE-2024-38059分析记录。

• CVE-2024-38066：Windows Win32k 特权提升漏洞。Use-After-Free（CWE-416）缺陷，成功利用此漏洞的攻击者可以获得 SYSTEM 权限。

• CVE-2024-38079：Windows 图形组件特权提升漏洞。基于堆的缓冲区溢出（CWE-122）缺陷，成功利用此漏洞的攻击者可以获得 SYSTEM 权限。要利用此漏洞，攻击者首先必须登录系统，并且可以运行特制的应用程序，从而利用该漏洞并控制受影响的系统。

• CVE-2024-38085：Windows 图形组件特权提升漏洞。Use-After-Free（CWE-416）缺陷，成功利用此漏洞的攻击者可以获得 SYSTEM 权限。

• CVE-2024-38100：Windows 文件资源管理器特权提升漏洞。访问控制不当（CWE-284）缺陷，成功利用此漏洞的攻击者可以获得管理员权限。‍‍

• CVE-2024-38023：Microsoft SharePoint Server 远程代码执行漏洞，被标记为严重（Critical）漏洞。具有网站所有者或更高权限的经过身份验证的攻击者可以将特制文件上传到目标 SharePoint Server，并制作专门的 API 请求以触发文件参数的反序列化，这将使攻击者能够在 SharePoint Server 上下文中执行远程代码。

• CVE-2024-38024：Microsoft SharePoint Server 远程代码执行漏洞。具有网站所有者或更高权限的经过身份验证的攻击者可以将特制文件上传到目标 SharePoint Server，并制作专门的 API 请求以触发文件参数的反序列化，这将使攻击者能够在 SharePoint Server 上下文中执行远程代码。

• CVE-2024-38094：Microsoft SharePoint 远程代码执行漏洞。具有站点所有者权限的经过身份验证的攻击者可以利用该漏洞注入任意代码并在 SharePoint Server 上下文中执行此代码。‍‍

• CVE-2024-38099：Windows 远程桌面授权服务拒绝服务漏洞。成功利用此漏洞需要攻击者具备高级逆向工程技能来识别并获得对特定 RPC 端点的未经授权的访问。

CVSS 3.1 Base Score高评分漏洞

CVE

CVSS

Tag

CVE-2024-38074

9.8

Windows 远程桌面授权服务‍‍‍

CVE-2024-38076

9.8‍‍‍

Windows 远程桌面

CVE-2024-38077

9.8‍‍‍

Windows 远程桌面授权服务‍‍‍

CVE-2024-38089‍‍‍

9.1‍‍‍

Microsoft Defender for IoT
‍‍‍

• CVE-2024-38074、CVE-2024-38076：Windows 远程桌面授权服务远程代码执行漏洞，被标记为严重（Critical）漏洞。攻击者可以向设置为远程桌面授权服务器的服务器发送特制数据包，这将导致远程代码执行。

• CVE-2024-38077：Windows 远程桌面授权服务远程代码执行漏洞，被标记为严重（Critical）漏洞。未经身份验证的攻击者可以连接到远程桌面授权服务并发送允许远程执行代码的恶意消息。

• CVE-2024-38089：Microsoft Defender for IoT 权限提升漏洞。权限管理不当（CWE-269）缺陷，成功利用此漏洞的攻击者将能够逃脱 AppContainer 并模拟非 AppContainer 令牌，并可以提升权限以比 AppContainer 执行环境更高的完整性级别执行代码或访问资源。攻击者可以通过转义正在运行 Web 应用程序的 sensor-app docker 容器并在主机上运行命令来利用该漏洞，这将允许他们进入任何其他容器并有可能获得对系统的控制权。

处置建议

根据微软官方指引，尽快下载安装补丁包进行修复，也可开启 Windows 自动更新保证补丁包的自动安装。

Microsoft 7 月安全更新指引：

https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul