【风险提示】天融信关于微软2024年05月安全更新的风险提示

0x00 背景介绍

2024年05月15日，天融信阿尔法实验室监测到微软官方发布了05月安全更新。此次更新共修复60个漏洞（不包含2个外部分配漏洞和本月早些时候发布的6个Edge漏洞），其中1个严重漏洞(Critical)、57个重要漏洞(Important)、1个中危漏洞(Moderate)、1个低危漏洞(Low)。其中权限提升漏洞17个、远程代码执行漏洞25个、信息泄露漏洞7个、拒绝服务漏洞3个、欺骗漏洞5个、安全功能绕过漏洞2个、篡改漏洞1个。

本次微软安全更新涉及组件包括：Windows MSHTML Platform、Windows DWM Core Library、Windows Common Log File System Driver、Windows Cloud Files Mini Filter Driver、Windows Win32K、Microsoft Office SharePoint、Windows Mobile Broadband、Windows Routing and Remote Access Service (RRAS)、Windows Hyper-V等多个产品和组件。

微软本次修复中，CVE-2024-30040、CVE-2024-30051已发现在野利用，CVE-2024-30046、CVE-2024-30051被公开披露。

0x01 重点漏洞描述

本次微软更新中重点漏洞的信息如下所示。

在野利用和公开披露漏洞

CVE	漏洞名称	CVSS3.1
CVE-2024-30040	Windows MSHTML平台安全功能绕过漏洞	8.8/8.2
CVE-2024-30051	Windows DWM核心库本地权限提升漏洞	7.8/7.2

CVE-2024-30040：Windows MSHTML平台安全功能绕过漏洞

该漏洞已发现在野利用。该漏洞是Windows MSHTML平台中的不正确的输入验证漏洞（CWE-20）。未经身份认证的远程攻击者通过说服用户打开恶意文档来获得代码执行权限，此时攻击者可以在用户的上下文中执行任意代码。

成功利用此漏洞的攻击者，可以绕过Microsoft 365和Microsoft Office中的OLE缓解措施，这些缓解措施可保护用户免受易受攻击的COM/OLE控件的侵害。

CVE-2024-30051：Windows DWM核心库本地权限提升漏洞

该漏洞已发现在野利用，且被公开披露。该漏洞是Windows DWM核心库中的堆溢出漏洞（CWE-122）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

漏洞利用可能性较大的漏洞

CVE	漏洞名称	CVSS3.1
CVE-2024-29996	Windows通用日志文件系统驱动本地权限提升漏洞	7.8/6.8
CVE-2024-30025	Windows通用日志文件系统驱动本地权限提升漏洞	7.8/6.8
CVE-2024-30037	Windows通用日志文件系统驱动本地权限提升漏洞	7.5/6.5
CVE-2024-30032	Windows DWM核心库本地权限提升漏洞	7.8/6.8
CVE-2024-30035	Windows DWM核心库本地权限提升漏洞	7.8/6.8
CVE-2024-30034	Windows Cloud Files微过滤器驱动信息泄露漏洞	5.5/4.8
CVE-2024-30038	Windows Win32k本地权限提升漏洞	7.8/6.8
CVE-2024-30049	Windows Win32k本地权限提升漏洞	7.8/6.8
CVE-2024-30044	Microsoft SharePoint Server远程代码执行漏洞	8.8/7.7
CVE-2024-30050	Windows网络标记(MOTW)安全功能绕过漏洞	5.4/5.0

CVE-2024-29996、CVE-2024-30025、CVE-2024-30037：Windows通用日志文件系统驱动本地权限提升漏洞

这些漏洞都是Windows通用日志文件系统驱动中的越界读漏洞（CWE-125）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-30032、CVE-2024-30035：Windows DWM核心库本地权限提升漏洞

这些漏洞都是Windows DWM核心库中的释放后重用漏洞（CWE-416）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-30034：Windows Cloud Files微过滤器驱动信息泄露漏洞

该漏洞是Windows Cloud Files微过滤器驱动中的类型混淆漏洞（CWE-843）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以泄露某些内核内存内容。

CVE-2024-30038、CVE-2024-30049：Windows Win32k本地权限提升漏洞

CVE-2024-30038是Windows Win32k中的堆溢出漏洞（CWE-122）。CVE-2024-30049是Windows Win32k中的释放后重用漏洞（CWE-416）。

经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-30044：Microsoft SharePoint Server远程代码执行漏洞

此漏洞是Microsoft SharePoint Server中的不可信数据的反序列化漏洞（CWE-502）。具有站点所有者或更高权限的经过身份认证的远程攻击者可以将特制文件上传到目标SharePoint Server，并构造特殊的API请求以触发文件参数的反序列化。这将使攻击者能够在目标SharePoint Server的上下文中执行远程代码。

CVE-2024-30050：Windows网络标记(MOTW)安全功能绕过漏洞

为了利用此漏洞，攻击者可以在攻击者控制的服务器上托管文件，然后诱使目标用户下载并打开该文件。这可能允许攻击者绕过网络标记（Mark of the Web，MOTW）安全功能。

高评分漏洞

CVE	漏洞名称	CVSS3.1
CVE-2024-30006	Microsoft SQL Server的WDAC OLE DB提供程序远程代码执行漏洞	8.8/7.7
CVE-2024-30007	Microsoft Brokering文件系统本地权限提升漏洞	8.8/7.7
CVE-2024-30009	Windows路由和远程访问服务(RRAS)远程代码执行漏洞	8.8/7.7
CVE-2024-30010	Windows Hyper-V远程代码执行漏洞	8.8/7.7
CVE-2024-30017	Windows Hyper-V远程代码执行漏洞	8.8/7.7

CVE-2024-30006：Microsoft SQL Server的WDAC OLE DB提供程序远程代码执行漏洞

该漏洞是Microsoft SQL Server的WDAC OLE DB提供程序中的释放后重用漏洞（CWE-416）。攻击者可以通过欺骗经过身份认证的用户尝试通过OLEDB连接到恶意SQL服务器来利用此漏洞，这可能会导致从服务器接收到恶意网络数据包，并允许攻击者在客户端上远程执行代码。

CVE-2024-30007：Microsoft Brokering文件系统本地权限提升漏洞

该漏洞是Microsoft Brokering文件系统中的不正确权限管理漏洞（CWE-269）。攻击者可以通过利用驱动程序网络路径验证管理中的安全疏忽来利用此漏洞，这可能会绕过已建立的安全协议，该协议旨在在应用程序与远程主机交互期间保护用户凭据。这可能会授予攻击者对网络资源未经授权的访问，并有助于在合法用户的假定身份下执行未经授权的操作。

成功利用此漏洞的攻击者可能能够使用当前用户的凭据对远程主机进行身份认证。

CVE-2024-30009：Windows路由和远程访问服务(RRAS)远程代码执行漏洞

该漏洞是Windows路由和远程访问服务(RRAS)中的数字截断错误（CWE-197）。远程攻击者通过诱骗目标用户使用客户端连接到攻击者控制的恶意服务器，然后将恶意数据包发送给客户端来利用此漏洞，这可能允许攻击者在目标用户客户端上下文中执行任意代码。

CVE-2024-30010：Windows Hyper-V远程代码执行漏洞

该漏洞是Windows Hyper-V中的相对路径遍历漏洞（CWE-23）。经过身份认证的远程攻击者通过从远程计算机向目标主机上的Hyper-V副本端点发送格式错误的数据包来利用此漏洞。

CVE-2024-30017：Windows Hyper-V远程代码执行漏洞

该漏洞是Windows Hyper-V中的堆溢出漏洞（CWE-122）。来宾虚拟机上经过身份认证的攻击者通过向虚拟机上的硬件资源发送特制的文件操作请求来利用此漏洞，成功利用此漏洞，可能会导致在主机服务器上执行任意代码。

0x02 影响版本

影响多个主流版本的Windows，多个主流版本的Microsoft系列软件。

0x03 修复建议

Windows自动更新

Windows系统默认启用Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。