【风险提示】天融信关于微软2024年06月安全更新的风险提示

0x00 背景介绍

2024年06月12日，天融信阿尔法实验室监测到微软官方发布了06月安全更新。此次更新共修复49个漏洞（不包含2个外部分配漏洞和本月早些时候发布的7个Edge漏洞），其中1个严重漏洞(Critical)、48个重要漏洞(Important)。其中权限提升漏洞24个、远程代码执行漏洞18个、信息泄露漏洞3个、拒绝服务漏洞4个。

本次微软安全更新涉及组件包括：Windows Server Service、Windows Win32K、Windows Kernel-Mode Drivers、Windows Cloud Files Mini Filter Driver、Windows Kernel、Microsoft Streaming Service、Windows Wi-Fi Driver、Microsoft Office等多个产品和组件。

微软本次修复中，无在野利用与公开披露漏洞。

0x01 重点漏洞描述

本次微软更新中重点漏洞的信息如下所示。

漏洞利用可能性较大的漏洞

CVE	漏洞名称	CVSS3.1
CVE-2024-30080	Microsoft消息队列(MSMQ)远程代码执行漏洞	9.8/8.5
CVE-2024-30082	Windows Win32k本地权限提升漏洞	7.8/6.8
CVE-2024-30086	Windows Win32k本地权限提升漏洞	7.8/6.8
CVE-2024-30087	Windows Win32k本地权限提升漏洞	7.8/6.8
CVE-2024-30091	Windows Win32k本地权限提升漏洞	7.8/7.0
CVE-2024-30084	Windows内核模式驱动本地权限提升漏洞	7.0/6.1
CVE-2024-35250	Windows内核模式驱动本地权限提升漏洞	7.8/6.8
CVE-2024-30085	Windows Cloud Files微过滤器驱动本地权限提升漏洞	7.8/7.0
CVE-2024-30088	Windows Kernel本地权限提升漏洞	7.0/6.3
CVE-2024-30099	Windows Kernel本地权限提升漏洞	7.0/6.3
CVE-2024-30089	Windows流服务本地权限提升漏洞	7.8/6.8

CVE-2024-30080：Microsoft消息队列(MSMQ)远程代码执行漏洞

此漏洞是Windows Server服务消息队列(MSMQ)实现中的释放后重用漏洞（CWE-416）。未经身份认证的远程攻击者通过向MSMQ服务器发送特制的恶意MSMQ数据包来利用此漏洞，成功利用此漏洞可以获得在MSMQ服务器端远程执行代码的能力。

Windows消息队列服务是一个Windows组件，需要启用该服务，才能利用此漏洞。此功能可以通过控制面板添加。您可以检查是否有一个名为Message Queuing的服务正在运行，并且机器上的TCP端口1801正在监听来查看此服务的运行状态。

CVE-2024-30082、CVE-2024-30086、CVE-2024-30087、CVE-2024-30091：Windows Win32k本地权限提升漏洞

CVE-2024-30082和CVE-2024-30086都是Windows Win32k子系统中的释放后重用漏洞（CWE-416）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-30087是Windows Win32k子系统中不正确的输入验证漏洞（CWE-20），CVE-2024-30091是Windows Win32k子系统中的堆溢出漏洞（CWE-122）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得运行受影响应用程序的用户的权限。

CVE-2024-30084、CVE-2024-35250：Windows内核模式驱动本地权限提升漏洞

CVE-2024-30084是Windows内核模式驱动中的TOCTOU条件竞争漏洞（CWE-367）。CVE-2024-35250是Windows内核模式驱动中的不可信指针解引用漏洞（CWE-822）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-30085：Windows Cloud Files微过滤器驱动本地权限提升漏洞

CVE-2024-30085是Windows Cloud Files微过滤器驱动中的堆溢出漏洞（CWE-122）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-30088、CVE-2024-30099：Windows Kernel本地权限提升漏洞

CVE-2024-30088和CVE-2024-30099都是Windows Kernel中的TOCTOU条件竞争漏洞（CWE-367）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-30089：Windows流服务本地权限提升漏洞

CVE-2024-30089是Windows流服务中的释放后重用漏洞（CWE-416）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

高评分漏洞

CVE	漏洞名称	CVSS3.1
CVE-2024-30064	Windows Kernel本地权限提升漏洞	8.8/7.7
CVE-2024-30068	Windows Kernel本地权限提升漏洞	8.8/7.7
CVE-2024-30078	Windows Wi-Fi驱动远程代码执行漏洞	8.8/7.7
CVE-2024-30097	Microsoft语音应用编程接口(SAPI)远程代码执行漏洞	8.8/7.7
CVE-2024-30103	Microsoft Outlook远程代码执行漏洞	8.8/7.7
CVE-2024-35249	Microsoft Dynamics 365 Business Central远程代码执行漏洞	8.8/7.7

CVE-2024-30064：Windows Kernel本地权限提升漏洞

该漏洞是Windows Kernel中的整数溢出或环绕漏洞（CWE-190）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以未经授权访问系统资源，并可能允许他们以与受感染进程相同的权限执行操作。

CVE-2024-30068：Windows Kernel本地权限提升漏洞

该漏洞是Windows Kernel中的越界读漏洞（CWE-125）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得SYSTEM权限。

CVE-2024-30078：Windows Wi-Fi驱动远程代码执行漏洞

该漏洞是Windows Wi-Fi驱动中的不正确的输入验证漏洞（CWE-20）。未经身份认证的局域网攻击者可以向使用Wi-Fi网络适配器的相邻系统发送恶意网络数据包，从而实现远程代码执行。

CVE-2024-30097：Microsoft语音应用编程接口(SAPI)远程代码执行漏洞

该漏洞是Microsoft语音应用编程接口(SAPI)中的双重释放漏洞（CWE-415）。未经身份认证的远程攻击者通过诱骗经过身份验证的客户端单击链接来利用此漏洞。成功利用此漏洞的攻击者可以使系统拒绝服务或执行任意代码，从而损害系统完整性和可用性。

CVE-2024-30103：Microsoft Outlook远程代码执行漏洞

该漏洞是Microsoft Outlook中的不允许输入的不完整列表漏洞（CWE-184）。攻击者必须使用有效的Exchange用户凭据进行身份认证。成功利用此漏洞的攻击者可以绕过Outlook注册表阻止列表并创建恶意DLL文件。可通过预览窗格进行攻击。

CVE-2024-35249：Microsoft Dynamics 365 Business Central远程代码执行漏洞

该漏洞是Microsoft Dynamics 365 Business Central中的不可信数据的反序列化漏洞（CWE-502）。任何经过身份认证的远程攻击者均可触发此漏洞。此漏洞不需要管理员或其他提升的权限。

0x02 影响版本

影响多个主流版本的Windows，多个主流版本的Microsoft系列软件。

0x03 修复建议

Windows自动更新

Windows系统默认启用Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。