【风险提示】天融信关于微软2024年04月安全更新的风险提示
0x00 背景介绍
2024年04月10日,天融信阿尔法实验室监测到微软官方发布了04月安全更新。此次更新共修复149个漏洞(不包含3个外部分配漏洞和本月早些时候发布的3个Edge漏洞),其中3个严重漏洞(Critical)、142个重要漏洞(Important)、3个中危漏洞(Moderate)、1个低危漏洞(Low)。其中权限提升漏洞31个、远程代码执行漏洞68个、信息泄露漏洞12个、拒绝服务漏洞7个、欺骗漏洞5个、安全功能绕过漏洞26个。
本次微软安全更新涉及组件包括:Windows Proxy Driver、Microsoft Install Service、Windows Local Security Authority Subsystem Service (LSASS)、Windows Remote Access Connection Manager、Windows DHCP Server、Windows Kernel、Windows Win32K、Windows Compressed Folder、Windows Secure Boot、Windows Authentication Methods、Internet Shortcut Files、SQL Server等多个产品和组件。
微软本次修复中,CVE-2024-26234已发现在野利用,且被公开披露。CVE-2024-29988由Google TAG报告给微软,且有报道称其已被在野利用,但微软未承认其已被在野利用。
0x01 重点漏洞描述****
本次微软更新中重点漏洞的信息如下所示。
-
在野利用和公开披露漏洞
-
CVE-2024-26234:Proxy驱动欺骗漏洞
该漏洞CVSS3.1评分为6.7/6.2。已发现在野利用,且被公开披露。通过滥用Microsoft Windows硬件兼容性计划(WHCP)签名,经过身份认证的攻击者利用签名的后门可被Windows视为合法白文件执行。
- 漏洞利用可能性较大的漏洞
CVE
漏洞名称
CVSS3.1
CVE-2024-26158
Microsoft安装服务本地权限提升漏洞
7.8/6.8
CVE-2024-26209
Microsoft本地安全认证子系统服务(LSASS)信息泄露漏洞
5.5/4.8
CVE-2024-26211
Windows远程访问连接管理器本地权限提升漏洞
7.8/6.8
CVE-2024-26212
DHCP Server服务拒绝服务漏洞
7.5/6.5
CVE-2024-26218
Windows Kernel本地权限提升漏洞
7.8/6.8
CVE-2024-26230
Windows Telephony Server本地权限提升漏洞
7.8/6.8
CVE-2024-26239
Windows Telephony Server本地权限提升漏洞
7.8/6.8
CVE-2024-26241
Windows Win32k本地权限提升漏洞
7.8/6.8
CVE-2024-26256
libarchive远程代码执行漏洞
7.8/6.8
CVE-2024-28903
Secure Boot安全功能绕过漏洞
6.7/5.8
CVE-2024-28921
Secure Boot安全功能绕过漏洞
6.7/5.8
CVE-2024-29056
Windows认证权限提升漏洞
4.3/3.8
CVE-2024-29988
SmartScreen提示安全功能绕过漏洞
8.8/8.2
- CVE-2024-26158:Microsoft安装服务本地权限提升漏洞
该漏洞是Microsoft安装服务中的文件访问前链接解析不正确漏洞(CWE-59),经过普通用户身份认证的本地攻击者可以利用此漏洞获得目标系统的SYSTEM权限。
- CVE-2024-26209:Microsoft本地安全认证子系统服务(LSASS)信息泄露漏洞
该漏洞是LSASS服务中的使用未初始化的资源漏洞(CWE-908),经过普通用户身份认证的本地攻击者可以利用此漏洞泄露系统未初始化内存中的信息。
- CVE-2024-26211:Windows远程访问连接管理器本地权限提升漏洞
该漏洞是Windows远程访问连接管理器中的堆溢出漏洞(CWE-122),经过普通用户身份认证的本地攻击者可以利用此漏洞获得目标系统的SYSTEM权限。
- CVE-2024-26212:DHCP Server服务拒绝服务漏洞
该漏洞是DHCP Server服务中的不受控制的资源消耗漏洞(CWE-400),未经身份认证的远程攻击者可以利用此漏洞使目标系统的DHCP Server服务拒绝服务。
- CVE-2024-26218:Windows Kernel本地权限提升漏洞
该漏洞是Windows Kernel中的TOCTOU条件竞争漏洞(CWE-367)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
- CVE-2024-26230、CVE-2024-26239:Windows Telephony Server本地权限提升漏洞
CVE-2024-26230是Windows Telephony Server中的释放后重用漏洞(CWE-416),CVE-2024-26239是Windows Telephony Server中的堆溢出漏洞(CWE-122)。
经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
- CVE-2024-26241:Windows Win32k本地权限提升漏洞
该漏洞是Windows Win32k中的释放后重用漏洞(CWE-416),经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
- CVE-2024-26256:libarchive远程代码执行漏洞
该漏洞是Windows libarchive库中的堆溢出漏洞(CWE-122),未经授权的攻击者需要诱导受害者将恶意文件保存到本地,等待用户启动连接后触发该漏洞造成任意代码执行。
- CVE-2024-28903、CVE-2024-28921:Secure Boot安全功能绕过漏洞
该漏洞是Windows Secure Boot中的保护机制失效漏洞(CWE-693),拥有高权限的本地攻击者可以利用此漏洞绕过安全启动保护。
- CVE-2024-29056:Windows认证权限提升漏洞
该漏洞是Windows认证中的使用有风险的加密算法漏洞(CWE-327),拥有跨组织信任用户的攻击者成功利用此漏洞可能会获得授予组织内所有用户的访问权限。
- CVE-2024-29988:SmartScreen提示安全功能绕过漏洞
该漏洞是SmartScreen提示中的保护机制失效漏洞(CWE-693),未经身份认证的远程攻击者通过向受害者发送特制的文件并诱骗受害者运行该特制文件来利用此漏洞,成功利用此漏洞可以绕过"网页标记"(Mark of the Web,MotW)功能,从而在目标系统上执行恶意代码。
该漏洞与微软2024年2月补丁日修复的在野利用漏洞CVE-2024-21412相似,微软目前并未将其列为已被利用的漏洞,但有情报显示该漏洞存在在野利用。
- 高评分漏洞
CVE
漏洞名称
CVSS3.1
CVE-2024-29990
Microsoft Azure Kubernetes服务机密容器特权提升漏洞
9.0/8.1
CVE-2024-26179
Windows路由和远程访问服务远程代码执行漏洞
8.8/7.7
CVE-2024-26200
Windows路由和远程访问服务远程代码执行漏洞
8.8/7.7
CVE-2024-26205
Windows路由和远程访问服务远程代码执行漏洞
8.8/7.7
CVE-2024-28906
Microsoft SQL Server的OLE DB驱动远程代码执行漏洞
8.8/7.7
CVE-2024-28929
Microsoft SQL Server的ODBC驱动远程代码执行漏洞
8.8/7.7
CVE-2024-20678
Windows远程过程调用运行时远程代码执行漏洞
8.8/7.7
- CVE-2024-29990:Microsoft Azure Kubernetes服务机密容器特权提升漏洞
该漏洞是Microsoft Azure Kubernetes服务机密容器中的访问控制不当漏洞(CWE-284),未经身份认证的远程攻击者可以访问不受信任的AKS Kubernetes节点和AKS机密容器,以接管其可能绑定的网络栈之外的机密来宾和容器来利用此漏洞。
成功利用此漏洞的攻击者可能会窃取凭据并影响超出Azure Kubernetes服务机密容器(AKSCC)管理的安全范围的资源。该漏洞利用复杂性很高,成功利用此漏洞需要攻击者准备目标环境以提高利用可靠性。
- CVE-2024-26179、CVE-2024-26200、CVE-2024-26205:Windows路由和远程访问服务远程代码执行漏洞
这些漏洞是Windows路由和远程访问服务中的堆溢出漏洞(CWE-122),未经身份认证的远程攻击者通过诱骗受害者连接到他们控制的恶意服务器来利用这些漏洞,成功利用这些漏洞可以使攻击者在受害者的客户端上下文中执行任意代码。
- CVE-2024-28906:Microsoft SQL Server的OLE DB驱动远程代码执行漏洞
该漏洞是Microsoft SQL Server的OLE DB驱动中的堆溢出漏洞(CWE-122),未经身份认证的远程攻击者通过诱骗经过身份认证的受害者使用其SQL客户端连接到攻击者控制的恶意SQL数据库来利用此漏洞。建立连接后,服务器可以向客户端发送特制的回复,客户端在解析服务器回复的过程中触发此漏洞,成功利用此漏洞可使攻击者在受害者SQL客户端上下文中执行任意代码。
本月安全更新中还有很多此组件中与此漏洞类似的漏洞,欲知更多信息,请参考微软应急响应中心网站。
- CVE-2024-28929:Microsoft SQL Server的ODBC驱动远程代码执行漏洞
该漏洞是Microsoft SQL Server的ODBC驱动中的整数溢出漏洞(CWE-190),未经身份认证的远程攻击者通过诱骗经过身份认证的受害者使用ODBC连接到攻击者控制的恶意SQL服务器来利用此漏洞。建立连接后,服务器可以向客户端发送特制的回复,客户端在解析服务器回复的过程中触发此漏洞,成功利用此漏洞可使攻击者在受害者ODBC客户端上下文中执行任意代码。
本月安全更新中还有很多此组件中与此漏洞类似的漏洞,欲知更多信息,请参考微软应急响应中心网站。
- CVE-2024-20678:Windows远程过程调用运行时远程代码执行漏洞
该漏洞是Windows远程过程调用运行时中的类型混淆漏洞(CWE-843),经过任何身份认证的远程攻击者通过向RPC服务器发送特制的RPC调用来利用此漏洞,这可能会导致攻击者在服务器端以与RPC服务相同的权限执行远程代码。
0x02 影响版本
影响多个主流版本的Windows,多个主流版本的Microsoft系列软件。
0x03 修复建议
- Windows自动更新
Windows系统默认启用Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”。
2、选择“更新和安全”,进入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”->“系统和安全”->“Windows更新”)。
3、选择“检查更新”,等待系统将自动检查并下载可用更新。
4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
- 手动安装补丁
另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的04月补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2024-Apr
0x04 声明
天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。
天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。
天融信
阿尔法实验室
长按二维码关注我们
