长亭百川云 - 文章详情

【风险提示】天融信关于微软2024年03月安全更新的风险提示

天融信阿尔法实验室

45

2024-07-13

0x00 背景介绍


近日,天融信阿尔法实验室监测到微软官方发布了03月安全更新。此次更新共修复60个漏洞(不包含1个外部分配漏洞和本月早些时候发布的3个Edge漏洞),其中2个严重漏洞(Critical)、57个重要漏洞(Important)、1个低危漏洞(Low)。其中权限提升漏洞24个、远程代码执行漏洞18个、信息泄露漏洞5个、拒绝服务漏洞6个、欺骗漏洞2个、安全功能绕过漏洞3个、XSS漏洞1个、篡改漏洞1个。

本次微软安全更新涉及组件包括:Windows Hyper-V、Microsoft Exchange Server、Open Management Infrastructure、Microsoft Azure Kubernetes Service、Windows Print Spooler、Microsoft Graphics Component、Windows Cloud Files Mini Filter Driver、Windows Kernel、Windows Composite Image File System、Microsoft WDAC OLE DB provider for SQL、Windows ODBC Driver等多个产品和组件。

微软本次修复中,无在野利用和公开披露漏洞。

0x01 重点漏洞描述****


本次微软更新中重点漏洞的信息如下所示。

  • 漏洞利用可能性较大的漏洞

CVE

漏洞名称

CVSS3.1

CVE-2024-21433

Windows Print Spooler本地权限提升漏洞

7.0/6.1

CVE-2024-21437

Windows图形组件本地权限提升漏洞

7.8/6.8

CVE-2024-26160

Windows Cloud Files微过滤器驱动信息泄露漏洞

5.5/4.8

CVE-2024-26170

Windows复合图像文件系统(CimFS)本地权限提升漏洞

7.8/6.8

CVE-2024-26182

Windows Kernel本地权限提升漏洞

7.8/6.8

CVE-2024-26185

Windows压缩文件夹篡改漏洞

6.5/5.7

  • CVE-2024-21433:Windows Print Spooler本地权限提升漏洞

该漏洞是由Windows Print Spooler中的条件竞争造成的。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

  • CVE-2024-21437:Windows图形组件本地权限提升漏洞

经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

  • CVE-2024-26160:Windows Cloud Files微过滤器驱动信息泄露漏洞

经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以从用户模式进程读取内核内存的内容。

  • CVE-2024-26170:Windows复合图像文件系统(CimFS)本地权限提升漏洞

经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统特定的有限SYSTEM权限。

  • CVE-2024-26182:Windows Kernel本地权限提升漏洞

经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

  • CVE-2024-26185:Windows压缩文件夹篡改漏洞

未经身份认证的远程攻击者通过诱骗受害者打开特制的文件来利用此漏洞。在电子邮件场景中,攻击者可以向受害者发送包含特制文件的邮件并说服受害者打开该文件来利用此漏洞。在基于Web的攻击场景中,攻击者通过将特制的文件托管在一个网站上,然后说服受害者访问该网站下载该文件并打开该文件来利用此漏洞。

  • 高评分漏洞/严重漏洞

CVE

漏洞名称

CVSS3.1

CVE-2024-21334

开放管理基础设施(OMI)远程代码执行漏洞

9.8/8.5

CVE-2024-21400

Microsoft Azure Kubernetes服务机密容器特权提升漏洞

9.0/8.1

CVE-2024-21407

Windows Hyper-V远程代码执行漏洞

8.1/7.1

CVE-2024-21408

Windows Hyper-V拒绝服务漏洞

5.5/4.8

CVE-2024-26198

Microsoft Exchange Server远程代码执行漏洞

8.8/7.7

  • CVE-2024-21334:开放管理基础设施(OMI)远程代码执行漏洞

未经身份认证的远程攻击者可以通过网络访问OMI实例并发送特制请求以触发此释放后重用漏洞。

运行受影响的SCOM(System Center Operations Manager)版本的客户应更新到OMI版本1.8.1-0。如果Linux机器不需要网络监听,可以禁用OMI传入端口。

  • CVE-2024-21400:Microsoft Azure Kubernetes服务机密容器特权提升漏洞

未经身份认证的远程攻击者可以访问不受信任的AKS Kubernetes节点和AKS机密容器,以接管其可能绑定的网络堆栈之外的机密来宾和容器。

成功利用此漏洞的攻击者可能会窃取凭据并影响超出Azure Kubernetes服务机密容器(AKSCC)管理的安全范围的资源。

  • CVE-2024-21407:Windows Hyper-V远程代码执行漏洞

此漏洞需要来宾虚拟机上经过身份认证的攻击者向虚拟机上的硬件资源发送特制的文件操作请求,这可能会导致在宿主机上执行任意代码。成功利用此漏洞需要攻击者收集特定于环境的信息,并在利用之前采取其他操作来准备目标环境。

  • CVE-2024-21408:Windows Hyper-V拒绝服务漏洞

该漏洞允许来宾虚拟机上经过身份认证的攻击者执行拒绝服务攻击(DoS)。该漏洞的存在是由于Windows Hyper-V中对用户提供的输入验证不足所致。

  • CVE-2024-26198:Microsoft Exchange Server远程代码执行漏洞

未经身份认证的远程攻击者可以通过将特制文件放置到在线目录或本地网络位置,然后诱使用户打开该文件来利用此漏洞。如果攻击成功,则会加载恶意DLL,从而导致远程代码执行。

0x02 影响版本


影响多个主流版本的Windows,多个主流版本的Microsoft系列软件。

0x03 修复建议


  • Windows自动更新

Windows系统默认启用Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”。

2、选择“更新和安全”,进入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”->“系统和安全”->“Windows更新”)。

3、选择“检查更新”,等待系统将自动检查并下载可用更新。

4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。

  • 手动安装补丁

另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的03月补丁并安装:

https://msrc.microsoft.com/update-guide/releaseNote/2024-Mar

0x04 声明


天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。

天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。

天融信

阿尔法实验室

长按二维码关注我们

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2