微软2024年11月补丁日重点漏洞安全预警
微软2024年11月补丁日重点漏洞安全预警
原创 山石漏洞管理中心 山石网科安全技术研究院 2024-11-19 13:56
补丁概述
2024 年 11 月 12 日,微软官方发布了 11 月安全更新,针对 89 个 Microsoft CVE 和 3 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 4 个严重漏洞(Critical)、84 个重要漏洞(Important)和 1 个中危漏洞(Moderate)。从漏
洞影响上看,有 51 个远程代码执行漏洞、28 个权限提升漏洞
、4 个拒绝服务漏洞、
3 个欺骗漏洞、2 个安全功能绕过漏洞和 1 个信息泄露漏洞。
89 个漏洞中,目前有漏洞 CVE-2024-43451、CVE-2024-49039 被发现在野利用,漏洞 CVE-2024-43451
、CVE-2024-49019、CVE-2024-49040****
已被公开披露,有 8 个利用可能性较大的漏洞。
本次安全更新涉及多个 Windows 主流版本,包括 Windows 10、Windows 11、Windows Server 2022、
Windows Server 2025
等;涉及多款主流产品和组件,如 SQL Server、Windows 电话服务、
Windows USB 视频驱动程序、Microsoft Office Excel
等。
重点关注漏洞
在野利用和公开披露漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2024-43451 |
6.5 |
Windows NTLM |
|
CVE-2024-49039 |
8.8 |
Windows 任务计划程序 |
|
CVE-2024-49019 |
7.8 |
Windows Active Directory 证书服务 |
|
CVE-2024-49040 |
7.5 |
Microsoft Exchange Server |
-
CVE-2024-43451:NTLM 哈希泄露欺骗漏洞,已被发现在野利用并被公开披露。
此漏洞向攻击者泄露用户的 NTLMv2 哈希值,攻击者可以使用该哈希值来验证用户身份,
用户与恶意文件的最少交互(例如选择 / 单击、检查 / 右键单击或执行打开或运行之外的操作)都可能触发此漏洞。 -
CVE-2024-49039:Windows 任务计划程序特权提升漏洞,已被发现在野利用。要利用此漏洞,经过身份验证的攻击者需要在目标系统上运行特制的应用程序,利用此漏洞将其权限提升到中等完整性级别。在这种情况下,可以从低权限的 AppContainer 执行成功的攻击。攻击者可以提升权限并以比 AppContainer 执行环境更高的完整性级别执行代码或访问资源。成功利用此漏洞的攻击者可以执行仅限特权帐户的 RPC 函数。
-
CVE-2024-49019:
Active Directory 证书服务特权提升漏洞
,已被公开披露,该漏洞利用可能性较大
。
成功利用此漏洞的攻击者可以获得域管理员权限,
如果未根据保护 PKI 的保护证书模板部分中发布的最佳实践来保护模板,则使用主题名称来源设置为“在请求中提供”的版本 1 证书模板创建的证书可能会受到攻击。 -
CVE-2024-49040:
Microsoft Exchange Server 欺骗漏洞
,已被公开披露,该漏洞利用可能性较大。
该漏洞是因为
SMTP 服务器以不同的方式解析收件人地址,从而导致电子邮件的欺骗,这
由当前实施的
发生在传输中的
P2 FROM 标头验证引起的。
利用可能性较大的漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2024-43623 |
7.8 |
Windows NT OS 内核 |
|
CVE-2024-43629 |
7.8 |
Microsoft DWM 核心库 |
|
CVE-2024-43630 |
7.8 |
Windows Kernel |
|
CVE-2024-43636 |
7.8 |
Microsoft DWM 核心库 |
|
CVE-2024-43642 |
7.5 |
Windows SMB |
|
CVE-2024-49033 |
7.5 |
Microsoft Office Word |
-
CVE-2024-43623:Windows NT OS 内核特权提升漏洞。整数溢出或环绕(CWE-190)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
-
CVE-2024-
43629
:Windows DWM 核心库特权提升漏洞。不受信任的指针解
引用(CWE-822
)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。 -
CVE-2024-
43630:Windows 内核特权提升漏洞。
基于堆的缓冲区溢出(CWE-122)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。 -
CVE-2024-43636
:Win32k 特权提升漏洞。不受信任的指针解
引用(CWE-822
)缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。 -
CVE-2024-
43642:Windows SMB 拒绝服务漏洞。Use-After-Free(CWE-416)缺陷,成功利用此漏洞后可导致使用 SMB 协议的系统拒绝服务。 -
CVE-2024-49033:Microsoft Word 安全功能绕过漏洞。此漏洞可能允许攻击者绕过 Office Protected View 的特定功能,成功利用此漏洞需要攻击者收集特定于目标组件环境的信息。利用该漏洞需要诱使用户打开特制的 Word 文件。
CVSS 3.1 Base Score高评分漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2024-43602 |
9.9 |
Azure CycleCloud |
|
CVE-2024-43498 |
9.8 |
.NET 和 Visual Studio |
|
CVE-2024-43639 |
9.8 |
Windows Kerberos |
-
CVE-2024-43602:Azure CycleCloud 远程代码执行漏洞。
具有基本用户权限的攻击者可以发送特制请求来修改 Azure CycleCloud 群集的配置,以获得根级别权限,使他们能够在当前实例中的任何 Azure CycleCloud 群集上执行命令,并且在某些情况下会泄露管理员凭据。 -
CVE-2024-43498:.NET 和 Visual Studio 远程执行代码漏洞,被标记为严重(Critical)漏洞。未经身份验证的远程攻击者可以通过向易受攻击的 .NET Web 应用程序发送特制请求,或将特制文件加载到易受攻击的桌面应用程序来利用此漏洞。
-
CVE-2024-43639:Windows KDC 协议远程代码执行漏洞,被标记为严重(Critical)漏洞。未经身份验证的攻击者可以使用特制的应用程序来利用 Windows Kerberos 中的加密协议漏洞对目标执行远程代码执行。此漏洞仅影响配置为 Kerberos 密钥分发中心(KDC)代理协议服务器的 Windows 服务器,域控制器不受影响。
严重漏洞(Critical)
|
CVE |
CVSS |
Tag |
|
CVE-2024-43625 |
8.1 |
Windows VMSwitch |
|
CVE-2024-49056 |
7.3 |
Airlift.microsoft.com |
-
CVE-2024-43625:Microsoft Windows VMSwitch 特权提升漏洞。攻击者通过该漏洞从低权限的 Hyper-V Guest 执行攻击,可以穿越 Guest 的安全边界在 Hyper-V 主机执行环境上执行代码。成功利用此漏洞的攻击者可以获得 SYSTEM 权限,利用该漏洞需要攻击者收集特定于环境的信息,并在利用之前采取其他操作来准备目标环境。利用时,攻击者需要向 VMswitch 驱动程序发送一系列特定的网络请求,从而触发 Hyper-V 主机中的 Use-After-Free 漏洞。
-
CVE-2024-49056:Airlift.microsoft.com 特权提升漏洞。
假定不可变数据绕过身份验证(
CWE-302)缺陷,
Microsoft 已完全缓解此漏洞,使用此服务的用户无需执行任何操作。
处置建议
根据微软官方指引,尽快下载安装补丁包进行修复,也可开启 Windows 自动更新保证补丁包的自动安装。
Microsoft 11
月安全更新指引:
https://msrc.microsoft.com/update-guide/releas
eNote/2024-Nov