0x00 背景介绍
2024年01月10日,天融信阿尔法实验室监测到微软官方发布了01月安全更新。此次更新共修复48个漏洞(不包含1个外部分配漏洞和本月早些时候发布的4个Edge漏洞),其中2个严重漏洞(Critical)、46个重要漏洞(Important)。权限提升漏洞10个、远程代码执行漏洞11个、信息泄露漏洞11个、拒绝服务漏洞6个、欺骗漏洞3个、安全功能绕过漏洞7个。
本次微软安全更新涉及组件包括:Windows MSHTML Platform、Windows Common Log File System Driver、Windows Win32K、Windows Kernel、Remote Desktop Client、Windows Cloud Files Mini Filter Driver、Microsoft Office SharePoint、Windows ODBC Driver、Windows Message Queuing等多个产品和组件。
本月更新无在野利用和公开披露漏洞。
0x01 重点漏洞描述****
本次微软更新中重点漏洞的信息如下所示。
CVE
漏洞名称
CVSS3.1
CVE-2024-20652
Windows HTML平台安全功能绕过漏洞
7.5/6.5
CVE-2024-20653
Windows通用日志文件系统驱动本地权限提升漏洞
7.8/6.8
CVE-2024-20674
Windows Kerberos安全功能绕过漏洞
9.0/7.8
CVE-2024-20683
Windows Win32K本地权限提升漏洞
7.8/6.8
CVE-2024-20686
Windows Win32K本地权限提升漏洞
7.8/6.8
CVE-2024-20698
Windows Kernel本地权限提升漏洞
7.8/6.8
CVE-2024-21307
Remote Desktop客户端远程代码执行漏洞
7.5/6.5
CVE-2024-21310
Windows Cloud Files微过滤器驱动本地权限提升漏洞
7.8/6.8
CVE-2024-21318
Microsoft SharePoint Server远程代码执行漏洞
8.8/7.7
如果通过传递带有Lanman重定向设备对象的设备路径的URL使API返回区域值“Intranet”,则MapURLToZone方法可能被攻击者绕过。WebDav设备也是如此。
成功利用此漏洞需要攻击者准备目标环境以提高利用可靠性,且需要进行普通用户身份认证。
经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
经过身份认证的局域网攻击者可以通过建立中间人攻击(MITM)或其他本地网络欺骗技术来利用此漏洞,然后向受害者客户机发送恶意Kerberos消息,以将自己欺骗为经过Kerberos身份认证的服务器。
要想利用此漏洞,需要攻击者在运行攻击之前首先获得对受限网络的访问权限。成功利用此漏洞可以绕过身份认证功能。
经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。
经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
未经身份认证的远程攻击者通过搭建一个恶意的Remote Desktop服务端,并等待用户通过存在此漏洞的客户端连接此服务端来利用此漏洞。
要想利用此漏洞需要攻击者赢得竞争条件。成功利用此漏洞,可使攻击者在受害者系统中执行任意代码。
经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
经过身份认证的远程攻击者(至少是站点所有者)可以在SharePoint服务器上远程注入和执行任意代码。
CVE
漏洞名称
CVSS3.1
CVE-2024-0056
Microsoft.Data.SqlClient和System.Data.SqlClient SQL数据提供程序安全功能绕过漏洞
8.7/7.6
CVE-2024-0057
.NET Framework和Visual Studio安全功能绕过漏洞
9.1/8.2
CVE-2024-20654
Microsoft ODBC驱动远程代码执行漏洞
8.0/7.0
CVE-2024-20676
Azure Storage Mover远程代码执行漏洞
8.0/7.0
未经身份认证的远程攻击者可以通过中间人攻击(MITM)来利用此漏洞,成功利用此漏洞可以使攻击者解密并读取或修改客户端和服务器之间的TLS流量。此漏洞对受攻击机器的可用性没有影响。
成功利用此漏洞能够使攻击者逃避TLS连接中使用的加密。使用System.Data.SqlClient或Microsoft.Data.SqlClient NuGet包开发应用程序的客户需要做以下操作才能受到保护:
如果您在.NET Framework上使用System.Data.SqlClient包,你必须安装.NET Framework的2024年01月的更新。
如果您在.NET 6、.NET 7、.NET 8上使用System.Data.SqlClient包,则必须将NuGet包引用更新为受影响包中列出的更新版本。
如果您在.NET 6/7/8、.NET Framework上使用Microsoft.Data.SqlClient包,并且使用的是易受攻击的版本,则必须更新受影响包中列出的NuGet包引用。
关于此漏洞的更详细信息,请参考如下链接:
https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-0056
当基于Microsoft .NET Framework的应用程序使用X.509链构建APIs但由于逻辑缺陷而没有完全验证X.509证书时,存在安全功能绕过漏洞。未经身份认证的远程攻击者可以提供带有错误签名的任意不受信任的证书,从而触发框架中的错误。框架将正确地报告X.509链构建失败,但它将返回错误的失败原因代码。使用此原因代码来制定自己的链构建信任决策的应用程序可能会无意中将此场景视为成功的链构建,这可能允许攻击者破坏应用程序的典型身份认证逻辑。
攻击者可以通过欺骗经过身份认证的用户试图通过ODBC连接到恶意SQL服务器来利用此漏洞,这可能导致客户机接收到恶意的网络数据包,并允许攻击者在受害者SQL客户端上下文中远程执行代码。
成功利用该漏洞的攻击者将能够访问已安装的代理并实现远程代码执行。为了成功利用该漏洞,攻击者需要一些关键信息,例如已安装代理的ARMID和UUID作为前提条件。
0x02 影响版本
影响多个主流版本的Windows,多个主流版本的Microsoft系列软件。
0x03 修复建议
Windows系统默认启用Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”。
2、选择“更新和安全”,进入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”->“系统和安全”->“Windows更新”)。
3、选择“检查更新”,等待系统将自动检查并下载可用更新。
4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的01月补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2024-Jan
天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。
天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。
天融信
阿尔法实验室
长按二维码关注我们