每周高级威胁情报解读(2024.05.10~05.16)

披露时间：2024年5月15日

情报来源：https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware/

相关信息：

研究人员观察到，自2024年4月中旬以来， Storm-1811组织一直在利用客户端管理工具Quick Assist对用户发起社会工程学攻击。其中， Storm-1811是一个出于经济动机的网络犯罪组织，以部署Black Basta勒索软件而闻名。Quick Assist则是一款应用程序，使用户能够通过远程连接与其他人共享其Windows或macOS设备。

本次活动中，攻击者主要通过语音网络钓鱼(vishing)，冒充Microsoft技术支持等可信联系人或目标用户公司的IT专业人员，以获得对目标设备的初始访问权限，从而传播恶意工具，包括ScreenConnect、NetSupport Manager等远程监控和管理(RMM)工具，Qakbot、Cobalt Strike恶意软件，以及Black Basta勒索软件。具体来说，某些情况下，攻击者会发起链接列表攻击——一种电子邮件轰炸攻击，通过将目标电子邮件注册到多个电子邮件订阅服务，以间接使用订阅内容淹没电子邮件地址。电子邮件泛滥之后，攻击者再通过致电目标用户，冒充IT支持人员，声称可以提供修复垃圾邮件问题的帮助。随后在通话过程中，进一步说服用户通过Quick Assist授予他们访问其设备的权限，并在其输入安全代码后，获取对目标设备的完全控制权。

披露时间：2024年5月15日

情报来源：https://www.welivesecurity.com/en/eset-research/moon-backdoors-lunar-landing-diplomatic-missions/

相关信息：

安全人员发现了两个新后门，并将其命名为LunarMail和LunarWeb，这些后门被用于攻击欧洲外交部(MFA)及其驻外外交使团。在初始访问阶段，攻击者疑似通过钓鱼攻击和Zabbix软件的漏洞获取初始访问权限。恶意程序还会模仿Zabbix的日志文件。此外，安全人员还观察到一个携带恶意代码的DOCX文档，文档携带32位与64位加载器，以及包含LunarMail后门的blob。文档通过宏执行恶意代码，根据主机名称计算受害者ID，并与C2服务器进行通信，随后将恶意程序提取到指定路径，使用Outlook加载项建立持久性。

其中加载器被命名为LunarLoader，该加载器通过RC4算法解密后续阶段的有效负载，它还创建了一个解密密钥，该密钥源自计算机DNS域名的MD5哈希值，随后加载器使用AES-256解密有效负载，生成PE文件。LunarLoader为PE映像分配内存并解密PE文件中导出函数的名称，然后在新线程中运行该函数。最终LunarWeb后门将被部署，该后门提供信息收集、HTTPS通信、通过zlib泄露数据、读写文件等功能。该活动部署的第二个后门为LunarMail，与LunarWeb后门有许多相似之处，两者的主要区别在于LunarMail使用电子邮件与C2服务器进行通信。安全人员将该攻击活动归因为俄罗斯APT组织Turla。

披露时间：2024年5月14日

情报来源：https://mp.weixin.qq.com/s/wR7IgBmEuqqGQ9SCAV39Uw

相关信息：

APT-C-08（蔓灵花）是一个拥有南亚地区政府背景的APT组织，近几年来持续对南亚周边国家进行APT攻击，攻击目标涉及政府、军工、高校和驻外机构等企事业单位组织。

研究人员监测到多起由蔓灵花组织发起的，模仿邮箱附件下载站点的钓鱼攻击事件。在此类攻击事件中，蔓灵花组织一如既往地在钓鱼获取目标用户凭证上努力改进，在2023年的攻击活动中首次发现该组织利用在线IDE平台Replit进行钓鱼网站的搭建。

披露时间：2024年5月14日

情报来源：https://cyble.com/blog/the-overlapping-cyber-strategies-of-transparent-tribe-and-sidecopy-against-india/

相关信息：

2024年5月，研究人员发现了一个由SideCopy APT组织创建或利用的恶意网站。据悉，该组织自2019年以来一直积极针对南亚国家，特别是印度地区。在本次活动中，SideCopy主要以大学生为目标，且其初始感染媒介似乎是垃圾邮件，其中包含指向恶意网站的超链接，网站托管着名为"files.zip"恶意压缩文件，文件则内嵌有旨在触发感染过程的恶意快捷方式(LNK)文件"IT Trends.docx.lnk"。一旦点击，恶意LNK文件就会触发命令提示符，提示启动"mshta.exe"，并利用多个HTA文件和加载程序DLL，启动一系列复杂的感染步骤，最终导致ReverseRat等恶意软件有效负载的部署。随后，RAT再连接到C2服务器，进而在受害者的设备上开始恶意活动。不过，值得注意的是，SideCopy通常专注于政府实体，而Transparent Tribe组织则以大学为目标而闻名，这表明这两个APT组织之间可能存在重叠。

披露时间：2024年5月13日

情报来源：https://mp.weixin.qq.com/s/j6aR2AyTdtDB8B-wCVAwjQ

相关信息：

Timitator(战术模仿者) 组织自2022年到2023年针对我国的能源、高校、科研机构及军工等行业进行攻击，主要采取鱼叉、nday等方式进行打点。

其鱼叉攻击分别投递过exe、chm、iso(img)及lnk等格式的载荷，在受害者成功执行该恶意附件后，在第一阶段时其会加载cobaltstrike并建立稳定连接，在第二阶段通过cobaltstrike加载其自定义特马，再通过探测内网确认每个失陷目标的价值，对不同的目标设计不同的后续攻击或利用方式，窃取高价值目标的数据和文件。该组织在攻击行动中常模仿其他组织的攻击战术，因此我们将该组织命名为战术模仿者(Timitator->ttps imitator)，该组织也被其他友商称为apt-q-77、变异鼠，部分友商将其归因到海莲花，该组织目前归因复杂无法确定其最终背景 。

近期，研究人员捕获到Timitator组织最新的一批钓鱼样本，在这批样本中发现该组织在攻击中使用RUST特马代替CobaltStrike进行远程控制，并且发现释放到磁盘中的文件带有VMP虚拟外壳。

本次捕获到多个Timitator钓鱼样本，分析后发现：在2024-03-28之后上传的样本中，没有使用CobaltStrike作为远控工具，而是使用一个由RUST语言编写的远控工具，在文章中简称为RUST特马。

披露时间：2024年5月10日

情报来源：https://mp.weixin.qq.com/s/84lUaNSGo4lhQlpnCVUHfQ

相关信息：

近期多名安全研究人员发现一类非法JS代码的ZIP压缩包，样本涉及的非法软件与去年11月国外Unit 42团队披露的“传染性访谈”攻击活动一致。奇安信威胁情报中心发现，攻击者在去攻击年底被披露后仍关闭展开攻击行动，受害者主要是区块链行业的开发者。

这些人在工作平台（比如LinkedIn、Upwork、Braintrust等） ）上塑造形象的身份，伪装为雇主、独立开发者或斯科特公司创始人，发布具有慈善事业或者紧急任务的工作信息，工作内容通常是软件开发或者问题修复。这些工作信息会吸引主动搜索而来的开发者，或者借助平台的自主机制呈现在目标面前。在讨论具体工作内容人群时，攻击者试图说服应聘人员在自己的设备上运行由他们提供的代码。一旦应聘人员不加怀疑地运行程序，其中插入的恶意JS代码将窃取感染设备上与虚拟货币相关的敏感信息，并入侵其他恶意软件。

披露时间：2024年5月9日

情报来源：https://mp.weixin.qq.com/s/Qe_5k8US7nyZHEHLshmlBg

相关信息：

2024年1月至5月，研究人员对"银狐"(又被称作"谷堕大盗"、"树狼"、"游蛇")钓鱼攻击黑产团伙的传播途径和攻击手法进行了持续跟踪。据悉，该团伙常通过社交聊天软件、邮件附件投递钓鱼文件或钓鱼链接URL，伪装成知名软件安装包等方式，进行针对性的传播。其攻击对象主要为企业单位中的财务、税务工作人员，其次为教育、电商、货运、设计等行业人员。根据分析整理，该团伙的典型攻击特征有以下七点：

1. 以chm、msi、pyinstaller等多种形式的载体打包母体文件，母体进一步释放或下载裹挟恶意代码的xml、jpg、dat、png等后缀的非PE文件；

2. 母体文件会通过加壳、代码混淆、检测杀毒软件进程和虚拟机等方式对抗分析；

3. 宿主进程读取母体释放的非PE文件并定位目标数据段，然后通过异或等算法解密出远控木马程序，使用的远控木马绝大部分为Gh0st；

4. 在执行木马程序阶段，利用白加黑执行、进程代码注入、内存加载shellcode、与合法程序源码一起打包编译、利用商业远控软件等手法进行免杀；

5. 通过个人网站、FTP服务器、云存储桶、云盘、云笔记等平台下载托管的恶意文件；

6. 通过添加系统启动项和计划任务进行持久化攻击；

7. 利用golang、C#、vbe、vbs、bat、js、lua、powershell等多种语言开发，以实现其多样化的对抗需求。

此外，研究人员发现，在2月以后，"银狐"钓鱼攻击的量级有所下降，但每日受攻击用户仍维持在约1000的高位水平。连接C2时，样本会高频使用一些端口，其通过数字简单排列或者重复的端口使用占比也较大，另外部分还使用了代表年份的数字来作为通信端口。钓鱼时，投递的PE可执行文件中占比最高的为EXE，其次为MSI类型。钓鱼文件命名则涉及财税类、发票订单类、视频资源类、政策通知类等主题。为躲避检测，攻击者会将Gh0st等类型的木马加密后隐藏在文件数据中，或者从远程服务器下载，最终通过加载器解密执行。执行过程中，还会使用反沙箱、反虚拟机、白+黑启动、进程代码注入、内存加载等技术。为达到完全控制主机的目的，还会将进程提升至具备特殊权限的等级，例如执行远程关机、加载设备驱动、创建计算机账户等操作，还会通过创建启动项、计划任务对木马进行启动，以便后续可持续对主机进行控制。

披露时间：2024年5月16日

情报来源：https://mp.weixin.qq.com/s/TbiOIATW-Qn2uWImGoEagw

相关信息：

研究人员发现银狐钓鱼团伙近期开始将终端安全软件IP-**ard的计算机监控功能当作远控工具使用。其中，IP-**ard是由广州某科技公司开发的一款终端安全管理软件，可帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。经分析，该软件具有监控和管理企业内部系统的功能，但由于没有严格校验使用者身份，因此被攻击者加以利用从而对用户计算机进行远程控制。

研究人员表示，攻击者将IP-**ard软件进行灵活打包后进行投放，使得钓鱼文件母体不具备固定特征，可能造成更多用户中招。据悉，相关钓鱼样本文件命名仍然以"XXX税务"、"XXX名单"、"XXX稽查"、"XXX补贴"、"XX社保"、"XX视频"等为主题，软件和相关依赖文件则通过NSIS打包成安装包。安装过程中，它将通过安装脚本命令查找杀软进程并提示用户操作退出相关杀毒软件。随后，将用于远程控制的依赖文件释放到特定目录；并将远控程序添加到防火墙规则使其允许通过，然后通过ExecShell命令启动软件的OCular Agent远程控制模块winrdlv3.exe。winrdlv3.exe则负责通过命令行加载winoav3.dll、winwdgv3.dll等DLL，同时加载驱动程序TPacket7.sys，最终连接到C2地址。

披露时间：2024年5月14日

情报来源：https://research.checkpoint.com/2024/foxit-pdf-flawed-design-exploitation/

相关信息：

Foxit PDF Reader(福昕PDF)是除Adobe Acrobat Reader外，被大量用户使用的一种PDF阅读编辑器。近期，安全人员发现了一种涉及PDF攻击的异常行为模式，主要针对Foxit Reader用户。由于大多数沙箱使用Adobe Reader，目前对该漏洞的检测率还很低。目前该漏洞已被发现遭到攻击者利用。

当测试PDF程序打开expmon生成的文件时，Foxit Reader会向用户弹出一个默认选项为确认的警告窗口，当用户点击确认后，程序将弹出第二个告警窗口，该窗口在第一个窗口确认后，会默认同意，从而导致文档携带的恶意代码有权限执行。安全人员已观测到攻击者利用该设计缺陷，下发VenomRAT、Agent-Tesla、Remcos、NjRAT等多种恶意程序。此外，现已存在攻击者在Telegram利用该漏洞的工具包。安全人员已上报该漏洞，Foxit Reader也已更新修复版本。

披露时间：2024年5月14日

情报来源：https://mp.weixin.qq.com/s/SzYPhkq2-Bywfb6Jxr_KXw

相关信息：

近期，研究人员收到用户反馈称自己下载的 Telegram 汉化文件安装后造成系统异常。分析过程中发现该程序在对 Telegram 程序进行汉化的同时还 “悄悄” 释放恶意后门文件，执行远控操作，危害极大。

披露时间：2024年5月13日

情报来源：https://www.facct.ru/blog/phantomdl-loader/

相关信息：

近期，安全人员发现一个下载器，并将其命名为PhantomGoDownloader，经过分析，该恶意软件与PhantomCore组织存在许多联系，因此，安全人员将PhantomGoDownloader归因为PhantomCore组织。PhantomCore是一个自2024年初以来针对俄罗斯开展攻击活动的网络间谍组织，目前主要通过钓鱼邮件分发携带恶意文件的压缩包。在2024年3月安全人员曾捕获到该组织分发的恶意压缩包，压缩包中携带一个诱饵pdf文档和一个可执行文件。pdf文档内容为俄罗斯核工业企业境内施工场地的转让和验收，攻击者利用WinRAR漏洞CVE-2023-38831，试图在用户打开PDF文件时，执行其准备的恶意代码。

其中的可执行文件是一个Go语言编写的加载程序，程序运行后首先会获取受害主机的信息，并访问指定URL，传输主机信息，如果该请求从非俄罗斯IP地址发起，则连接将被终止。URL会返回后续阶段载荷，程序将运行该载荷。在3月底，安全人员发现了该组织的类似攻击活动，攻击者传递了一个合同信息相关内容的文件以及名为PhantomGoDownloader的加载程序。PhantomGoDownloader程序的PDB路径与PhantomCore组织PhantomRAT的PDB路径特征相似，并且两者存在的类和方法名称也存在交叉。

披露时间：2024年5月13日

情报来源：https://www.proofpoint.com/us/blog/threat-insight/security-brief-millions-messages-distribute-lockbit-black-ransomware

相关信息：

从2024年4月24日开始，安全人员持续一周观察到由Phorpiex僵尸网络发出的数百万条消息，传播 LockBit Black勒索软件(又名LockBit 3.0)。这是安全人员首次观察到LockBit Black勒索软件样本通过Phorpiex僵尸网络大量传播。此次活动中的LockBit Black样本很可能是由 2023年夏季泄露的LockBit构建器构建的。僵尸网络发送电子邮件，邮件显示发送者为“Jenny Green”，电子邮件地址为Jenny@gsd[.]com。这些电子邮件包含一个带有可执行文件(.exe)的 ZIP压缩包，安全人员观察到该可执行文件从Phorpiex僵尸网络基础设施下载LockBit Black有效负载。目前，该活动似乎处于广撒网状态，并未限制特定行业领域。

披露时间：2024年5月10日

情报来源：https://mp.weixin.qq.com/s/QGfttDZ_tE2YMs30ZKq2Hw

相关信息：

近日，研究人员监测到一起LNMP供应链投毒事件。攻击者在LNMP官方网站的LNMP 2.0下载版安装脚本及下载的安装程序中插入恶意代码，从而实现利用ROOT身份的Shell反连和自动部署Rootkit后门。经关联分析，在2023年4月和2023年9月，LNMP就已经发生过两起投毒事件，截止2024年5月8日，投毒文件仍存在于官网首页。不过，在此次投毒事件中，攻击者使用了新的投毒方式，触发攻击方式更为隐蔽，且部分自动化攻击形式与去年投毒事件较为相似，极有可能与上述投毒事件是同一团伙所为。

据悉，LNMP一键安装包的主要作用是节省开发运维人员配置生产环境所耗费的时间。然而，从LNMP官方网站下载的LNMP 2.0下载版压缩包为lnmp2.0.tar.gz，其大小不同于官网描述，运行安装程序后会下载nginx-1.24.0.tar.gz。攻击者修改了文件的srcosunixngx_process.c，并在其中添加了恶意代码。主要逻辑为：恶意线程与主线程分离，恶意线程会休眠2419200秒(约28天)，之后向域名nginx.dev(不属于nginx官网)发送当前的时间戳和nginx的版本信息。在攻击者开始远控后，则会通过其阿里云服务器下载crond、install、libxml2.so.2.9.2等恶意文件，并启动作为持久化rootkit后门。

披露时间：2024年5月9日

情报来源：https://asec.ahnlab.com/ko/65307/

相关信息：

研究人员近期发现攻击者将恶意程序伪装为微软Office激活工具，通过云盘或者种子链接进行分发。工具运行后将安装破解的Office程序，同时安装恶意程序。该恶意程序基于.NET开发，代码经过混淆，程序执行后将访问Telegram获取进一步的下载地址。从下载地址获取的内容为Base64编码的字符串，当字符串被解密时，Powershell命令将被执行并运行各类恶意代码。运行的恶意代码涉及Orcus RAT、XMRig等。Orcus RAT提供基本的远程控制功能，例如收集系统信息、处理文件/注册表/进程和执行命令，以及使用网络摄像头进行键盘记录和信息盗窃功能。此外，由于该程序还支持通过HVNC和RDP控制屏幕，攻击者可以利用它来控制受害主机并窃取信息。

披露时间：2024年5月8日

情报来源：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-spam-to-asyncrat-tracking-the-surge-in-non-pe-cyber-threats/

相关信息：

AsyncRAT，也称为异步远程访问木马，是一种高度复杂的恶意软件，主要破坏计算机系统并窃取机密数据。近期，安全人员发现了该程序的一种新型感染链。感染链从包含HTML附件的垃圾邮件启动。当用户打开HTML页面后，页面将自动下载WSF脚本文件，页面会诱导用户执行文件并自动进行进一步的感染。WSF将下载特定代码，并将其命名为r.jpg文件。文件被保存至ty.zip中，除了r.jpg文件外，压缩包中还包含多个其他文件，首先js文件将运行调用node.bat脚本，脚本将创建定期的计划任务，计划任务将执行一个app.js脚本，脚本用于维持系统的持久性。随后t.bat文件将被执行，文件会调用powershell脚本，脚本中存在隐藏的关键字内容。最终PE文件将被释放。其中一个文件为高度混淆的AsyncRAT，程序可检测安全分析环境、从系统收集数据、与服务器建立连接等。

披露时间：2024年5月10日

情报来源：https://mp.weixin.qq.com/s/8s436GDvWiqp_38sLdU-tw

相关信息：

近期，研究人员发现了一起新的挖矿木马攻击事件，该木马从2023年11月开始出现，期间多次升级组件，目前版本为3.0。据悉，该挖矿木马持续活跃，感染量呈上升态势，主要特点是隐蔽性强，具备反分析、DLL劫持后门和shellcode注入等功能。因此，研究人员将该其命名为"匿铲"。调查显示，本次活动中，攻击者主要利用了两个比较新颖的技术以对抗反病毒软件，其中第一个技术是利用反病毒软件的旧版本内核驱动程序中的功能来结束反病毒软件和EDR，第二个技术则是利用MSDTC服务加载后门DLL，实现自启动后门，达到持久化的目的。

具体来说，"匿铲"挖矿木马首先会从放马服务器上下载名为"get.png"的PowerShell脚本，并会在解码后执行哈希验证、创建计划任务、禁用系统自带杀毒软件和创建服务等操作。之后会下载"kill.png"脚本和"delete.png"、"kill(1).png"两个压缩文件。脚本解码出shellcode代码，shellcode代码则经过解密得到控制器(一个可执行文件)并注入到powershell.exe进程中。两个压缩文件经过解压缩得到反病毒厂商的旧版本内核驱动程序"aswArPots.sys"和"IObitUnlockers.sys"，他们由控制器调用，负责终止杀毒软件和EDR程序等。另外，他们还会根据受害主机自身系统型号下载对应的"86/64.png"的压缩文件，其解压缩后会得到oci.dll文件，文件再通过MSDTC服务调用实现DLL劫持后门。最后，"get.png"脚本下载"smartsscreen.exe"程序，程序则会下载挖矿程序及其组件进行挖矿活动。

披露时间：2024年5月10日

情报来源：https://blog.phylum.io/malicious-go-binary-delivered-via-steganography-in-pypi/

相关信息：

2024 年 5 月 10 日，研究人员注意 PyPI 上的可疑软件包。该软件包被称为requests-darwin-lite，似乎是一直流行的requests软件包的一个分支，有一些关键的区别，最显着的是包含一个恶意的 Go 二进制文件，在一个大版本的实际请求侧边栏 PNG 标识中包含了一个恶意 Go 二进制文件。

该软件包使用了名为 cmdclass 的 setuptools 属性，允许作者在软件包安装过程中自定义各种操作。在 requests 中，cmdclass 被用来定制使用设置命令运行测试时的执行方式。他们实现了并行化测试，可根据机器上可用的 CPU 内核数量优化性能，从而提高开发过程中的测试效率。

披露时间：2024年5月10日

情报来源：https://cyble.com/blog/in-the-shadow-of-venus-trinity-ransomwares-covert-ties/

相关信息：

安全人员近期发现了一种名为Trinity的新勒索软件变种，该勒索软件采用双重勒索模式。经分析发现，该勒索软件的勒索信格式和底层代码库与名为2023Lock的勒索软件相似，并且，该勒索软件与Venus勒索软件也存在许多相似之处，安全人员推测Trinity勒索软件也许为2023Lock的新变种，并且软件开发者也许与Venus勒索软件开发者存在联系。勒索软件运行后会通过WMI查询卷影副本，随后检查互斥锁、获取特定权限、进行初始化等操作。最终，Trinity勒索软件采用ChaCha20算法进行加密。它以文本和.hta格式分发勒索信息，通过注册表修改调整桌面壁纸，并使用“.trinitylock”扩展名标记加密文件。

披露时间：2024年5月9日

情报来源：https://www.sentinelone.com/blog/macos-cuckoo-stealer-ensuring-detection-and-defense-as-new-samples-rapidly-emerge/

相关信息：

近期，安全人员发现一个针对macOS的新信息窃取程序，并将其命名为Cuckoo Stealer。这些程序主要伪装为PDF压缩器、音乐转换器等。程序由C++编写，内部携带大量异或加密字符串，避免被静态分析程序发现。该程序主要利用AppleScript的各种用途来复制符合其要求的文件和文件夹，并以纯文本形式窃取用户的管理密码。抓取的密码以明文形式保存在用户主目录的隐藏子文件夹中命名为pw.dat的文件中。隐藏文件夹的名称是.local-和随机生成的标识符的组合UUID。该程序还将试图安装持久化脚本，利用多个Living Off the Land工具收集主机信息。

披露时间：2024年5月6日

情报来源：https://sysdig.com/blog/llmjacking-stolen-cloud-credentials-used-in-new-ai-attack/

相关信息：

研究人员最近观察到一种新颖的攻击，该攻击主要利用窃取的云凭据来针对十个云托管的大语言模型(LLM)服务。根据LLM的反向代理被用来提供对受感染帐户访问权限的相关证据，研究人员推测攻击者出于经济利益获取目的，并将该活动称为LLMjacking。进一步调查显示，活动初始访问权限从一个运行存在漏洞(CVE-2021-3129)的Laravel版本的系统中获得，随后，攻击者将窃取云凭据并尝试访问包括Anthropic云提供商托管的Claude(v2/v3)在内的本地LLM模型。据悉，若不被发现，这类攻击可能会给受害者带来每天超过46,000美元的LLM消耗成本。

披露时间：2024年5月15日

情报来源：https://msrc.microsoft.com/update-guide/releaseNote/2024-May

相关信息：

研究人员近期发布了2024年5月的安全更新。本次安全更新修复了总计60个安全漏洞(不包括8个非Microsoft CVE)，其中有57个重要漏洞(Important)、1个严重漏洞(Critical)。在漏洞类型方面，主要包括27个远程代码执行漏洞、17个特权提升漏洞、7个信息泄露漏洞、4个欺骗漏洞、3个拒绝服务漏洞、2个安全功能绕过漏洞。本次发布的安全更新涉及Microsoft Office、Power BI、Visual Studio等多个产品和组件。

以下为重点关注漏洞列表：

CVE-2024-30044：Microsoft Sharepoint Server远程代码执行漏洞。该零日漏洞的CVSSv3评分为8.8分。经过身份验证的攻击者可以将特制文件上传到目标Sharepoint Server，并制作专门的API请求以触发文件参数的反序列化。这将使攻击者能够在Sharepoint服务器的上下文中执行远程代码。

CVE-2024-30051：Windows DWM核心库权限提升漏洞。该漏洞的CVSSv3评分为7.8分。成功利用此漏洞的攻击者可以获得系统权限。

CVE-2024-30040：Windows MSHTML平台安全功能绕过漏洞。该漏洞的CVSSv3评分为8.8分。攻击者可以通过电子邮件、社交媒体或即时消息来说服目标用户打开特制文档，从而利用此漏洞。一旦漏洞被利用，攻击者就可以在目标系统上执行代码。