0x00 背景介绍
2024年8月14日,天融信阿尔法实验室监测到微软官方发布了8月安全更新。此次更新共修复90个漏洞(不包含3个外部分配漏洞和本月早些时候发布的9个Edge漏洞),其中7个严重漏洞(Critical)、80个重要漏洞(Important)、3个中危漏洞(Moderate)。其中权限提升漏洞36个、远程代码执行漏洞30个、信息泄露漏洞9个、拒绝服务漏洞6个、欺骗漏洞5个、安全功能绕过漏洞1个、XSS漏洞2个、篡改漏洞1个。
本次微软安全更新涉及组件包括:Windows Kernel、Windows Power Dependency Coordinator、Windows Scripting、Microsoft Office Project、Windows Ancillary Function Driver for WinSock、Windows Mark of the Web (MOTW)、Windows Secure Kernel Mode、Line Printer Daemon Service (LPD)、Microsoft Office、Windows Update Stack、Windows TCP/IP、Microsoft Streaming Service、Windows DWM Core Library、Windows Transport Security Layer (TLS)、Windows Common Log File System Driver、Windows Print Spooler Components等多个产品和组件。微软本次修复中,CVE-2024-38106、CVE-2024-38107、CVE-2024-38178、CVE-2024-38189、CVE-2024-38193、CVE-2024-38213被在野利用,CVE-2024-21302、CVE-2024-38199、CVE-2024-38200、CVE-2024-38202被公开披露。CVE | 漏洞名称 | CVSS3.1 |
CVE-2024-38106 | Windows Kernel本地权限提升漏洞 | 7.0/6.5 |
CVE-2024-38107 | Windows Power Dependency Coordinator本地权限提升漏洞 | 7.8/7.2 |
CVE-2024-38178 | Jscript9脚本引擎内存损坏漏洞 | 7.5/7.0 |
CVE-2024-38189 | Microsoft Project远程代码执行漏洞 | 8.8/8.2 |
CVE-2024-38193 | Windows WinSock辅助功能驱动本地权限提升漏洞 | 7.8/7.2 |
CVE-2024-38213 | Windows网络标记(MOTW)安全功能绕过漏洞 | 6.5/6.0 |
CVE-2024-21302 | Windows Secure Kernel Mode本地权限提升漏洞 | 6.7/6.1 |
CVE-2024-38199 | Windows Line Printer Daemon(LPD)服务远程代码执行漏洞 | 9.8/8.5 |
CVE-2024-38200 | Microsoft Office欺骗漏洞 | 6.5/5.7 |
CVE-2024-38202 | Windows Update Stack本地权限提升漏洞 | 7.3/6.9 |
该漏洞已发现在野利用。此漏洞是Windows Kernel中的敏感数据存储于加锁不恰当的内存区域漏洞(CWE-591)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。成功利用此漏洞需要攻击者赢得竞争条件。
- CVE-2024-38107:Windows Power Dependency Coordinator本地权限提升漏洞
该漏洞已发现在野利用。此漏洞是Windows Power Dependency Coordinator中的释放后重用UAF漏洞(CWE-416)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
- CVE-2024-38178:Jscript9脚本引擎内存损坏漏洞
该漏洞已发现在野利用。此漏洞是Windows Jscript9脚本引擎中的类型混淆漏洞(CWE-843)。未经身份认证的远程攻击者通过向经过身份认证的受害者发送特制的URL,并说服受害者用Edge打开该URL来利用此漏洞,成功利用此漏洞的攻击者可以获得在受害者系统上下文执行任意代码的能力。此漏洞在Microsoft Edge的Internet Explorer模式下触发。
- CVE-2024-38189:Microsoft Project远程代码执行漏洞
该漏洞已发现在野利用。此漏洞是Microsoft Project中的不正确输入验证漏洞(CWE-20)。要利用该漏洞,需要受害者在系统上打开恶意的Microsoft Office Project文件,但该系统中的“阻止宏通过Internet在Office文件中运行”策略已被禁用,并且“VBA宏通知设置”也未启用,从而允许攻击者执行远程代码执行。此漏洞可通过“电子邮件”和“Web网站”两种场景进行利用。- CVE-2024-38193:Windows WinSock辅助功能驱动本地权限提升漏洞
该漏洞已发现在野利用。此漏洞是Windows WinSock辅助功能驱动中的释放后重用UAF漏洞(CWE-416)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。- CVE-2024-38213:Windows网络标记(MOTW)安全功能绕过漏洞
该漏洞已发现在野利用。此漏洞是Windows网络标记(MOTW)中的保护机制缺失漏洞(CWE-693)。远程攻击者通过受害者发送恶意文件并诱使他们打开它来利用此漏洞,成功利用此漏洞的攻击者可以绕过SmartScreen安全功能。- CVE-2024-21302:Windows Secure Kernel Mode本地权限提升漏洞
该漏洞被公开披露。此漏洞是Windows Secure Kernel Mode中的不正确访问控制漏洞(CWE-284)。此漏洞允许具有管理员权限的攻击者将当前版本的Windows系统文件替换为旧版本。通过利用此漏洞,攻击者可以重新引入之前已缓解的漏洞,绕过VBS的某些功能,并窃取受VBS保护的数据。- CVE-2024-38199:Windows Line Printer Daemon(LPD)服务远程代码执行漏洞
该漏洞被公开披露。此漏洞是Windows Line Printer Daemon(LPD)服务中的释放后重用UAF漏洞(CWE-416)。未经身份认证的远程攻击者通过向共享的易受攻击的Windows行式打印机守护程序(LPD)服务发送特制的打印任务来利用此漏洞,成功利用此漏洞可能导致在服务器上执行任意代码。- CVE-2024-38200:Microsoft Office欺骗漏洞
该漏洞被公开披露。此漏洞是Microsoft Office中的向未经授权的行为者泄露敏感信息漏洞(CWE-200)。远程攻击者通过创建一个恶意网站(其中包含利用此漏洞的特制文件),然后向受害者发送该网站的链接,并说服受害者点击该链接和打开文件来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的NTLM凭据。- CVE-2024-38202:Windows Update Stack本地权限提升漏洞
该漏洞被公开披露。此漏洞是Windows Update Stack中的不正确的访问控制漏洞(CWE-284)。具有基本用户权限的攻击者能够重新引入之前已缓解的漏洞或绕过VBS的某些功能。要成功利用此漏洞,攻击者必须说服或诱骗管理用户执行系统还原。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。CVE
| 漏洞名称
| CVSS3.1
|
CVE-2024-38063 | Windows TCP/IP远程代码执行漏洞 | 9.8/8.5 |
CVE-2024-38125 | Kernel Streaming WOW Thunk服务驱动本地权限提升漏洞 | 7.8/6.8 |
CVE-2024-38144 | Kernel Streaming WOW Thunk服务驱动权限提升漏洞 | 8.8/7.7 |
CVE-2024-38133 | Windows Kernel本地权限提升漏洞 | 7.8/6.8 |
CVE-2024-38141 | Windows WinSock辅助功能驱动本地权限提升漏洞 | 7.8/6.8 |
CVE-2024-38147 | Microsoft DWM核心库本地权限提升漏洞 | 7.8/6.8 |
CVE-2024-38150 | Microsoft DWM核心库本地权限提升漏洞 | 7.8/6.8 |
CVE-2024-38148 | Windows Secure Channel拒绝服务漏洞 | 7.5/6.5 |
CVE-2024-38163 | Windows Update Stack本地权限提升漏洞 | 7.8/6.8 |
CVE-2024-38196 | Windows通用日志文件系统驱动本地权限提升漏洞 | 7.8/6.8 |
CVE-2024-38198 | Windows Print Spooler权限提升漏洞 | 7.5/6.5 |
此漏洞是Windows TCP/IP中的整数下溢或回绕漏洞(CWE-191)。未经身份认证的攻击者可以向Windows计算机反复发送包含特制数据包的IPv6数据包,从而可以实现远程代码执行。
临时缓解措施:如果目标系统禁用IPv6,系统不会受到影响。CVE-2024-38125是Kernel Streaming WOW Thunk服务驱动中的数字截断错误(CWE-197)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。CVE-2024-38144是Kernel Streaming WOW Thunk服务驱动中的整数上溢或回绕漏洞(CWE-190)。经过普通用户身份认证的远程攻击者通过将特制的数据传递给目标系统来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。- CVE-2024-38133:Windows Kernel本地权限提升漏洞
该漏洞是Windows Kernel中的对特殊元素的转义处理不恰当漏洞(CWE-138)。攻击者可以通过诱骗用户向恶意服务器发送请求来利用此漏洞。这可能导致服务器返回恶意数据,从而导致在用户系统上执行任意代码。成功利用此漏洞的攻击者可以获得SYSTEM权限。
该漏洞是Windows WinSock辅助功能驱动中的释放后重用UAF漏洞(CWE-416)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
这些漏洞都是Microsoft DWM核心库中的释放后重用UAF漏洞(CWE-416)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
- CVE-2024-38148:Windows Secure Channel拒绝服务漏洞
该漏洞是Windows Secure Channel中的越界读漏洞(CWE-125)。未经身份认证的远程攻击者可以触发目标系统中的越界读取漏洞,并导致目标系统拒绝服务。
- CVE-2024-38163:Windows Update Stack本地权限提升漏洞
该漏洞是Windows Update Stack中的访问控制不当漏洞(CWE-284)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
- CVE-2024-38196:Windows通用日志文件系统驱动本地权限提升漏洞
该漏洞是Windows通用日志文件系统驱动中的不正确的输入验证漏洞(CWE-20)。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。
- CVE-2024-38198:Windows Print Spooler权限提升漏洞
该漏洞是Windows Print Spooler中的数据真实性验证不足漏洞(CWE-345)。经过普通用户身份认证的远程攻击者通过将特制的数据传递给目标系统来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。成功利用此漏洞需要攻击者赢得竞争条件。CVE
| 漏洞名称
| CVSS3.1
|
CVE-2024-38140 | Windows可靠的组播传输驱动(RMCAST)远程代码执行漏洞 | 9.8/8.5 |
CVE-2024-38159 | Windows Network Virtualization远程代码执行漏洞 | 9.1/7.9 |
CVE-2024-38160 | Windows Network Virtualization远程代码执行漏洞 | 9.1/7.9 |
该漏洞是Windows可靠的组播传输驱动(RMCAST)中的释放后重用UAF漏洞(CWE-416)。未经身份认证的远程攻击者可以通过向服务器上的Windows Pragmatic General Multicast(PGM)开放套接字发送特制的数据包来利用此漏洞,而无需用户进行任何交互。
CVE-2024-38159是Windows Network Virtualization中的释放后重用UAF漏洞(CWE-416)。CVE-2024-38159是Windows Network Virtualization中的堆溢出漏洞(CWE-122)。为了成功利用这些漏洞,攻击者或目标用户需要对机器实现高级别的控制,因为攻击需要访问通常限制普通用户访问的进程。
攻击者可以利用Windows Server 2016的wnv.sys组件中未经检查的返回值来利用此漏洞。通过操纵内存描述符表(MDL)的内容,攻击者可以导致未经授权的内存写入,甚至释放当前正在使用的有效块,从而导致关键的客户机到主机的逃逸。影响多个主流版本的Windows,多个主流版本的Microsoft系列软件。Windows系统默认启用Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:1、点击“开始菜单”或按Windows快捷键,点击进入“设置”。
2、选择“更新和安全”,进入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”->“系统和安全”->“Windows更新”)。
3、选择“检查更新”,等待系统将自动检查并下载可用更新。
4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的8月补丁并安装:https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug0x04 声明
天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。
还没有评论,来说两句吧...