微软2024年12月份于周二补丁日针对72漏洞发布安全补丁

发布于2024年12月11日2025年7月19日作者:cve-20

微软2024年12月份于周二补丁日针对72漏洞发布安全补丁

原创何威风祺印说信安 2024-12-11 13:19

微软完成了 2024 年补丁星期二更新，修复了其软件产品组合中
总共 72 个安全漏洞
，其中包括一个据称已被野蛮利用的漏洞。

在这 72 个漏洞中，17 个被评为严重，54 个被评为重要，1 个被评为中等严重程度。其中 31 个漏洞是远程代码执行漏洞，27 个漏洞允许提升权限。

自上个月
发布安全更新以来，该公司已在其基于 Chromium 的 Edge 浏览器中解决了13
个漏洞
。根据 Fortra 的数据，仅在 2024 年，微软就总共解决了多达 1,088 个漏洞。

微软承认已被积极利用的漏洞是
CVE-2024-49138
（CVSS 评分：7.8），这是 Windows 通用日志文件系统 (CLFS) 驱动程序中的一个权限提升缺陷。

该公司在一份公告中表示：“成功利用此漏洞的攻击者可以获得系统权限”，并感谢网络安全公司 CrowdStrike 发现并报告了这一漏洞。

值得注意的是，CVE-2024-49138 是继 CVE-2022-24521、CVE-2022-37969、CVE-2023-23376、CVE-2023-28252（CVSS 评分：7.8）之后，自 2022 年以来
第五个被积极利用的
CLFS 提权漏洞，也是今年修复的第九个同一组件漏洞。

Tenable 高级研究工程师 Satnam Narang 向 The Hacker News 表示：“尽管目前尚不清楚实际利用细节，但回顾 CLFS 驱动程序漏洞的历史，值得注意的是，勒索软件运营商在过去几年中已经养成了利用 CLFS 特权提升漏洞的倾向。”

“与通常注重精准和耐心的高级持续性威胁组织不同，勒索软件运营商和关联方专注于不择手段地实施破坏和抢劫策略。通过利用 CLFS 中的此类特权提升漏洞，勒索软件关联方可以通过给定网络窃取和加密数据并开始勒索受害者。”

CLFS 已成为恶意行为者的有吸引力的攻击途径这一事实并没有被微软忽视，该公司表示正在努力在解析此类日志文件时添加一个新的验证步骤。

微软在 2024 年 8 月下旬指出
：“这种安全缓解措施无需尝试验证日志文件数据结构中的单个值，而是使 CLFS 能够检测日志文件是否被 CLFS 驱动程序本身以外的任何东西修改。” “这是通过在日志文件末尾添加基于哈希的消息认证码 (HMAC) 来实现的。”

美国网络安全和基础设施安全局 (CISA) 此后将该漏洞
添加到其已知被利用漏洞 (
KEV
) 目录中，要求联邦民事行政部门 (FCEB) 机构在 2024 年 12 月 31 日之前采取必要的补救措施。

本月发布版本中严重程度最高的漏洞是影响 Windows 轻量级目录访问协议 (LDAP) 的远程代码执行漏洞。该漏洞的编号为
CVE-2024-49112
（CVSS 评分：9.8）。

微软表示：“成功利用此漏洞的未经身份验证的攻击者可以通过一组特制的 LDAP 调用来获取代码执行权限，从而在 LDAP 服务的上下文中执行任意代码。”

另外值得注意的是另外两个影响 Windows Hyper-V（
CVE-2024-49117
，CVSS 分数：8.8）、远程桌面客户端（
CVE-2024-49105
，CVSS 分数：8.4）和 Microsoft
Muzic
（
CVE-2024-49063
，CVSS 分数：8.4）的远程代码执行漏洞。

0patch 发布非官方补丁，修复 Windows 零日漏洞，攻击者可以利用该漏洞获取 NT LAN Manager (NTLM) 凭证。有关该漏洞的更多详细信息，将保留至官方补丁发布。

Mitja Kolsek 表示：“该漏洞允许攻击者通过让用户在 Windows 资源管理器中查看恶意文件来获取用户的 NTLM 凭据 – 例如，打开包含此类文件的共享文件夹或 USB 磁盘，或者查看先前从攻击者的网页自动下载此类文件的下载文件夹
。
”

10 月下旬，还发布
了
免费的非官方补丁来修复 Windows 主题零日漏洞，该漏洞允许攻击者远程窃取目标的 NTLM 凭据。

0patch 还
发布了针对 Windows Server 2012 和 Server 2012 R2 上另一个之前未知的漏洞的微补丁
，该漏洞允许攻击者绕过某些类型文件的 Mark-of-the-Web (
MotW
) 保护。据信该问题早在两年前就已出现。
由于 NTLM 受到中继和传递哈希攻击的广泛利用，微软已宣布计划弃用旧式身份验证协议，转而采用 Kerberos。此外，它已采取措施，默认为新安装和现有 Exchange 2019 安装启用身份验证扩展保护 (EPA)。微软表示，它已对 Azure 目录证书服务 (AD CS) 进行了类似的安全改进，在 Windows Server 2025 的发布中默认启用 EPA，这也取消了对 NTLM v1 的支持并弃用了 NTLM v2。这些更改也适用于 Windows 11 24H2。雷德蒙德的安全团队本周早些时候表示：“此外，作为 Windows Server 2025 版本的一部分，LDAP 现在默认启用了通道绑定。这些安全增强功能默认减轻了三项本地服务中 NTLM 中继攻击的风险：Exchange Server、Active Directory 证书服务 (AD CS) 和 LDAP。”“随着我们逐步默认禁用 NTLM，立即采取短期更改（例如在 Exchange Server、AD CS 和 LDAP 中启用 EPA）可强化‘默认安全’态势，并保护用户免受现实世界的攻击。”
微软补丁日系列回顾

微软2024年11月份于周二补丁日针对90漏洞发布安全补丁

微软2024年10月份于周二补丁日针对118个漏洞发布安全补丁，两个被广泛利用

微软2024年9月份于周二补丁日针对79个漏洞发布安全补丁

微软2024年8月份于周二补丁日针对90个漏洞发布安全补丁

微软2024年7月份于周二补丁日针对143个漏洞发布安全补丁

微软2024年6月份于周二补丁日针对51个漏洞发布安全补丁

微软2024年5月份于周二补丁日针对61个漏洞发布安全补丁

微软2024年4月份于周二补丁日针对149个漏洞发布安全补丁

微软2024年3月份于周二补丁日针对61个漏洞发布安全补丁

微软2024年2月份于周二补丁日针对73个漏洞发布安全补丁

微软2024年1月份于周二补丁日针对48个漏洞发布安全补丁

微软2023年1月份于周二补丁日针对98个漏洞发布安全补丁