微软2024年4月补丁日重点漏洞安全预警
微软2024年4月补丁日重点漏洞安全预警
原创 山石漏洞管理中心 山石网科安全技术研究院 2024-04-11 09:47
补丁概述
2024 年 4 月 9 日,微软官方发布了 4 月安全更新,针对 149 个 Microsoft CVE 和 6 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 3 个严重漏洞(Critical)、142 个重要漏洞(Important)、3 个中危漏洞(Moderate)和1 个低危漏洞(Low)。从漏洞影响上看,有 67
个远程代码执行漏洞、31
个权限提升漏洞
、27
个安全功能绕过漏洞、12 个信息泄露漏洞、7
个拒绝服务漏洞和 5
个欺骗漏洞。
149 个漏洞中,目前有漏洞 CVE-2024-26234、
CVE
-2024-29988 被发现在野利用(微软官方暂未标记),漏洞 CVE-2024-26234已被公开披露,有 12 个利用可能性较大的漏洞。
本次安全更新涉及多个 Windows 主流版本,包括 Windows 10、Windows 11、Windows Server 2022 等;涉及多款主流产品和组件,如 SQL Server、Windows 安全启动、Microsoft Defender for IoT、
Windows 内核
等。
本次安全更新包含了
由山石网科信创安全实验室报告的
Windows DWM 核心库信息泄露漏洞(
CVE-2024-26172)的修复,漏洞详情见:Windows DWM 核心库信息泄露漏洞 (CVE-2024-26172) 复现分析
。
重点关注漏洞
在野利用和公开披露漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2024-26234 |
6.7 |
Windows 代理驱动程序 |
|
CVE-2024-29988 |
8.8 |
Internet 快捷方式文件 |
– CVE-2024-26234:
代理驱动程序欺骗漏洞,已被发现在野利用并被公开披露。该漏洞编号追踪了
滥用 Microsoft Windows 硬件兼容性计划(WHCP)并
使用有效 Microsoft 硬件发行商证书签名以被视为合法执行的恶意驱动程序,该恶意驱动程序被认为是一款后门程序。
- CVE-2024-29988:
SmartScreen 提示安全功能绕过漏洞,已被发现在野利用。
要利用此安全功能绕过漏洞,攻击者需要说服用户使用不显示 UI 的启动器应用程序来启动恶意文件,恶意文件可以绕过
Mark-of-the-Web(MotW)功能并在目标系统上执行。
利用可能性较大的漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2024-26158 |
7.8 |
Microsoft 安装服务 |
|
CVE-2024-26218 |
7.8 |
Windows 内核 |
|
CVE-2024-26211 |
7.8 |
Windows 远程访问连接管理器 |
|
CVE-2024-26230 |
7.8 |
Windows 远程访问连接管理器 |
|
CVE-2024-26239 |
7.8 |
Windows 远程访问连接管理器 |
|
CVE-2024-26241 |
7.8 |
Windows Win32K – ICOMP |
|
CVE-2024-26256 |
7.8 |
Windows 压缩文件夹 |
|
CVE-2024-26212 |
7.5 |
Windows DHCP 服务器 |
|
CVE-2024-28903 |
6.7 |
Windows 安全启动 |
|
CVE-2024-28921 |
6.7 |
Windows 安全启动 |
|
CVE-2024-26209 |
5.5 |
Windows LSASS |
|
CVE-2024-29056 |
4.3 |
Windows 身份验证方法 |
-
CVE-2024-26158:
Microsoft 安装服务权限提升漏洞
。
文件访问前链接解析不正确(
CWE-59)缺陷,
成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
- CVE-2024-26218:
Windows 内核特权提升漏洞。
Time-of-check Time-of-use 条件竞争(
CWE-367)缺陷,
成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
-
CVE-2024-26211:Windows 远程访问连接管理器特权提升漏洞。
基于堆的缓冲区溢出(
CWE-122)缺陷,
成功利用此漏洞的攻击者可以获得 SYSTEM 权限。 -
CVE-2024-26230:
Windows Telephony Server 权限提升漏洞。
Use-
After-
Free
(
CWE-416
)
缺陷,
成功利用此漏洞的攻击者可以获得 SYSTEM 权限。 -
CVE-2024-
26239
:
Windows Telephony Server 权限提升漏洞。
基于堆的缓冲区溢出
(
CWE-122)
缺陷,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。 -
CVE-2024-26241:
Win32k 特权提升漏洞。
Use-
After-
Free
(
CWE-416
)
缺陷,
成功利用此漏洞的攻击者可以获得 SYSTEM 权限。 -
CVE-2024-26256:
libarchive 远程代码执行漏洞。
未经授权的攻击者必须等待用户发起连接才可利用该漏洞,该漏洞将导致任意命令执行。 -
CVE-2024-26212:
DHCP 服务器服务拒绝服务漏洞。不受控制的资源消耗(CWE-400)缺陷,该漏洞导致 DHCP 服务器拒绝服务
。 -
CVE-2024-28903、
CVE-2024-28921:
安全启动(Secure Boot)安全功能绕过漏洞。
保护机制失效(CWE-693)缺陷,
成功利用此漏洞的攻击者可以绕过安全启动。 -
CVE-2024-26209:Microsoft
本地安全机构子系统服务信息泄露漏洞。
如果攻击者成功利用此漏洞,可能泄露未初始化的内存。 -
CVE-2024-29056:
Windows 身份验证特权提升漏洞。
使用损坏或有风险的加密算法(
CWE-327)缺陷,
成功利用此漏洞的攻击者可以查看一些敏感信息,但并非受影响组件中的所有资源都会泄露给攻击者。攻击者无法更改公开的信息或限制对资源的访问。
CVSS 3.1 Base Score高评分漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2024-29990 |
9.0 |
Microsoft Azure Kubernetes 服务机密容器特权提升漏洞 |
|
CVE-2024-21323 |
8.8 |
Microsoft Defender for IoT |
|
CVE-2024-29053 |
8.8 |
Microsoft Defender for IoT |
-
CVE-2024-29990:
Microsoft Azure Kubernetes 服务机密容器特权提升漏洞。
成功利用此漏洞需要攻击者准备目标环境以提高利用可靠性。
攻击者可以访问不受信任的 AKS Kubernetes 节点和 AKS 机密容器,以接管其可能绑定的网络堆栈之外的机密来宾和容器。
成功利用此漏洞的攻击者可能会窃取凭据并影响超出 Azure Kubernetes 服务机密容器 (AKSCC) 管理的安全范围的资源。 -
CVE-2024-21323:
Microsoft Defender for IoT 远程代码执行漏洞,被标记为严重(Critical)漏洞。
成功利用此漏洞需要攻击者能够通过网络向 Defender for IoT 传感器发送恶意更新包。为此,攻击者首先需要验证自己的身份并获得启动更新过程所需的权限。
成功利用此路径遍历漏洞需要攻击者向 IoT 传感器的 Defender 发送 tar 文件。提取过程完成后,攻击者可以发送未签名的更新包并覆盖他们选择的任何文件。
-
CVE-2024-29053:
Microsoft Defender for IoT 远程代码执行漏洞
,被标记为严重(Critical)漏洞
。
任何经过身份验证的攻击者都可能触发此漏洞,它不需要管理员或以上的权限。
有权访问文件上传功能的经过身份验证的攻击者可以通过将恶意文件上传到服务器上的敏感位置来利用此路径遍历漏洞。
严重漏洞(Critical)
|
CVE |
CVSS |
Tag |
|
CVE-2024-21322 |
7.2 |
Microsoft Defender for IoT |
- CVE-2024-21322:
Microsoft Defender for IoT 远程代码执行漏洞。
成功利用此漏洞需要攻击者是 Web 应用程序的管理员,应对管理组进行定期验证和审计以预防类似此漏洞的攻击。
处置建议
根据微软官方指引,尽快下载安装补丁包进行修复,也可开启Windows自动更新保证补丁包的自动安装。
Microsoft 4月安全更新指引:
https://msrc.microsoft.com/update-guide/releaseNote/2024-Apr