【风险提示】天融信关于微软2024年7月安全更新的风险提示
0x00 背景介绍
2024年7月10日,天融信阿尔法实验室监测到微软官方发布了7月安全更新。此次更新共修复138个漏洞(不包含4个外部分配漏洞),其中5个严重漏洞(Critical)、132个重要漏洞(Important)、1个中危漏洞(Moderate)。其中权限提升漏洞24个、远程代码执行漏洞59个、信息泄露漏洞8个、拒绝服务漏洞17个、欺骗漏洞6个、安全功能绕过漏洞24个。
本次微软安全更新涉及组件包括:Windows Hyper-V、Windows MSHTML Platform、Microsoft Office、Microsoft Office SharePoint、Microsoft Streaming Service、Windows Win32K、Microsoft Windows Codecs Library、Microsoft Graphics Component、Windows Remote Desktop Licensing Service、Windows COM Session、SQL Server、Windows Secure Boot等多个产品和组件。
微软本次修复中,CVE-2024-38080和CVE-2024-38112被在野利用,CVE-2024-35264和CVE-2024-37985被公开披露。
0x01 重点漏洞描述****
本次微软更新中重点漏洞的信息如下所示。
- 在野利用和公开披露漏洞
CVE
漏洞名称
CVSS3.1
CVE-2024-38080
Windows Hyper-V本地权限提升漏洞
7.8/6.8
CVE-2024-38112
Windows MSHTML平台欺骗漏洞
7.5/7.0
CVE-2024-35264
.NET和Visual Studio远程代码执行漏洞
8.1/7.1
- CVE-2024-38080:Windows Hyper-V本地权限提升漏洞
该漏洞已发现在野利用。此漏洞是Windows Hyper-V中的整数溢出或环绕漏洞(CWE-190)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
- CVE-2024-38112:Windows MSHTML平台欺骗漏洞
该漏洞已发现在野利用。此漏洞是Windows MSHTML平台中的资源暴露在错误的领域漏洞(CWE-668)。未经身份认证的远程攻击者通过向受害者发送恶意文件,并说服其打开该文件来利用此漏洞。由于此漏洞需要攻击者在利用之前准备目标环境,所以攻击复杂度较高。
- CVE-2024-35264:.NET和Visual Studio远程代码执行漏洞
该漏洞被公开披露。此漏洞是.NET和Visual Studio中的释放后重用UAF漏洞(CWE-416)。未经身份认证的远程攻击者通过在处理请求主体时关闭http/3流来利用此漏洞。成功利用此漏洞的攻击者可以获得在目标系统上下文执行任意代码的能力。利用此漏洞需要攻击者赢得竞争条件。
- 漏洞利用可能性较大的漏洞
CVE
漏洞名称
CVSS3.1
CVE-2024-38021
Microsoft Office远程代码执行漏洞
8.8/7.7
CVE-2024-38023
Microsoft SharePoint Server远程代码执行漏洞
7.2/6.3
CVE-2024-38024
Microsoft SharePoint Server远程代码执行漏洞
7.2/6.3
CVE-2024-38094
Microsoft SharePoint Server远程代码执行漏洞
7.2/6.3
CVE-2024-38052
Kernel Streaming WOW Thunk服务驱动本地权限提升漏洞
7.8/6.8
CVE-2024-38054
Kernel Streaming WOW Thunk服务驱动本地权限提升漏洞
7.8/6.8
CVE-2024-38059
Windows Win32k本地权限提升漏洞
7.8/6.8
CVE-2024-38066
Windows Win32k本地权限提升漏洞
7.8/6.8
CVE-2024-38060
Windows Imaging组件远程代码执行漏洞
8.8/7.7
CVE-2024-38079
Windows图形组件本地权限提升漏洞
7.8/6.8
CVE-2024-38085
Windows图形组件本地权限提升漏洞
7.8/6.8
CVE-2024-38099
Windows Remote Desktop授权服务拒绝服务漏洞
5.9/5.2
CVE-2024-38100
Windows File Explorer本地权限提升漏洞
7.8/6.8
- CVE-2024-38021:Microsoft Office远程代码执行漏洞
此漏洞是Microsoft Office中的输入验证不当漏洞(CWE-20)。未经身份认证的远程攻击者通过向受害者发送一个绕过受保护视图协议的恶意链接,并说服其打开该链接来利用此漏洞。成功利用此漏洞的攻击者可以获得高权限,包括读取、写入和删除功能。
- CVE-2024-38023、CVE-2024-38024、CVE-2024-38094:Microsoft SharePoint Server远程代码执行漏洞
这些漏洞都是Microsoft SharePoint Server中的不受信任数据的反序列化漏洞(CWE-502)。经过身份认证且拥有站点所有者权限或更高权限的攻击者通过将特制文件上传到目标SharePoint Server,并制作专门的API请求以触发文件参数的反序列化来利用这些漏洞。成功利用这些漏洞的攻击者能够注入任意代码,并在SharePoint Server上下文中执行此代码。
- CVE-2024-38052、CVE-2024-38054:Kernel Streaming WOW Thunk服务驱动本地权限提升漏洞
CVE-2024-38052是Kernel Streaming WOW Thunk服务驱动中的不正确的输入验证漏洞(CWE-20)。CVE-2024-38054是该驱动中的堆溢出漏洞(CWE-122)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
- CVE-2024-38059、CVE-2024-38066:Windows Win32k本地权限提升漏洞
CVE-2024-38059和CVE-2024-38066都是Windows Win32k中的释放后重用UAF漏洞(CWE-416)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
- CVE-2024-38060:Windows Imaging组件远程代码执行漏洞
该漏洞是Windows Imaging组件中的堆溢出漏洞(CWE-122)。经过普通用户身份认证的远程攻击者通过将恶意TIFF文件上传到服务器来利用此漏洞。成功利用此漏洞的攻击者能够在受害者系统上下文中执行任意代码。
- CVE-2024-38079、CVE-2024-38085:Windows图形组件本地权限提升漏洞
CVE-2024-38079是Windows图形组件中的堆溢出漏洞(CWE-122)。CVE-2024-38085是该组件中的释放后重用UAF漏洞(CWE-416)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
- CVE-2024-38099:Windows Remote Desktop授权服务拒绝服务漏洞
该漏洞是Windows Remote Desktop授权服务中的认证不当漏洞(CWE-287)。成功利用此漏洞需要攻击者拥有高级逆向工程技能来识别并获得对特定远程过程调用(RPC)端点的未经授权的访问。
- CVE-2024-38100:Windows File Explorer本地权限提升漏洞
该漏洞是Windows File Explorer中的访问控制不当漏洞(CWE-284)。普通本地用户可以绕过已实施的安全限制并获得目标系统的Administrator权限。
- 高评分漏洞
CVE
漏洞名称
CVSS3.1
CVE-2024-38074
Windows Remote Desktop授权服务远程代码执行漏洞
9.8/8.5
CVE-2024-38076
Windows Remote Desktop授权服务远程代码执行漏洞
9.8/8.5
CVE-2024-38077
Windows Remote Desktop授权服务远程代码执行漏洞
9.8/8.5
CVE-2024-38089
Microsoft Defender for IoT权限提升漏洞
9.1/7.9
CVE-2024-20701
SQL Server Native Client OLE DB提供程序远程代码执行漏洞
8.8/7.7
CVE-2024-28899
Secure Boot安全功能绕过漏洞
8.8/7.7
- CVE-2024-38074、CVE-2024-38076、CVE-2024-38077:Windows Remote Desktop授权服务远程代码执行漏洞
CVE-2024-38074是Windows Remote Desktop授权服务中的整数下溢或回绕漏洞(CWE-191)。CVE-2024-38076和CVE-2024-38077都是该组件中的堆溢出漏洞(CWE-122)。未经身份认证的远程攻击者通过向设置为远程桌面授权服务器的服务器发送特制的数据包来利用这些漏洞。成功利用这些漏洞的攻击者可以获得在目标服务器系统上下文中执行任意代码的能力。
- CVE-2024-38089:Microsoft Defender for IoT权限提升漏洞
该漏洞是Microsoft Defender for IoT中的权限管理不当漏洞(CWE-269)。经过高级用户身份认证的远程攻击者通过逃离sensor-app docker容器(正在运行Web应用程序)并在主机上运行命令来利用该漏洞。成功利用此漏洞的攻击者能够获得逃离AppContainer并冒充非AppContainer令牌的能力。
- CVE-2024-20701:SQL Server Native Client OLE DB提供程序远程代码执行漏洞
该漏洞是SQL Server Native Client OLE DB提供程序中的堆溢出漏洞(CWE-122)。攻击者可以通过诱骗经过身份认证的用户尝试通过连接驱动程序(例如:OLE DB或OLEDB,视情况而定)连接到恶意SQL服务器数据库来利用此漏洞。这可能导致数据库返回恶意数据,从而导致客户端上执行任意代码。
本月更新中还发布了很多此组件的漏洞,请到MSRC官网查看更多漏洞的详细信息。
- CVE-2024-28899:Secure Boot安全功能绕过漏洞
该漏洞是Secure Boot中的栈溢出漏洞(CWE-121)。经过身份认证的局域网攻击者通过安装恶意的.wim文件来利用此漏洞。成功利用此漏洞的攻击者可以绕过安全启动。
本月更新中还发布了很多此组件的漏洞,请到MSRC官网查看更多漏洞的详细信息。
0x02 影响版本
影响多个主流版本的Windows,多个主流版本的Microsoft系列软件。
0x03 修复建议
- Windows自动更新
Windows系统默认启用Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”。
2、选择“更新和安全”,进入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”->“系统和安全”->“Windows更新”)。
3、选择“检查更新”,等待系统将自动检查并下载可用更新。
4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
- 手动安装补丁
另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的7月补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul
0x04 声明
天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。
天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。
天融信
阿尔法实验室
长按二维码关注我们
