【风险提示】天融信关于微软2024年8月安全更新的风险提示

0x00 背景介绍

2024年8月14日，天融信阿尔法实验室监测到微软官方发布了8月安全更新。此次更新共修复90个漏洞（不包含3个外部分配漏洞和本月早些时候发布的9个Edge漏洞），其中7个严重漏洞(Critical)、80个重要漏洞(Important)、3个中危漏洞(Moderate)。其中权限提升漏洞36个、远程代码执行漏洞30个、信息泄露漏洞9个、拒绝服务漏洞6个、欺骗漏洞5个、安全功能绕过漏洞1个、XSS漏洞2个、篡改漏洞1个。

本次微软安全更新涉及组件包括：Windows Kernel、Windows Power Dependency Coordinator、Windows Scripting、Microsoft Office Project、Windows Ancillary Function Driver for WinSock、Windows Mark of the Web (MOTW)、Windows Secure Kernel Mode、Line Printer Daemon Service (LPD)、Microsoft Office、Windows Update Stack、Windows TCP/IP、Microsoft Streaming Service、Windows DWM Core Library、Windows Transport Security Layer (TLS)、Windows Common Log File System Driver、Windows Print Spooler Components等多个产品和组件。

微软本次修复中，CVE-2024-38106、CVE-2024-38107、CVE-2024-38178、CVE-2024-38189、CVE-2024-38193、CVE-2024-38213被在野利用，CVE-2024-21302、CVE-2024-38199、CVE-2024-38200、CVE-2024-38202被公开披露。

0x01 重点漏洞描述

本次微软更新中重点漏洞的信息如下所示。

在野利用和公开披露漏洞

CVE	漏洞名称	CVSS3.1
CVE-2024-38106	Windows Kernel本地权限提升漏洞	7.0/6.5
CVE-2024-38107	Windows Power Dependency Coordinator本地权限提升漏洞	7.8/7.2
CVE-2024-38178	Jscript9脚本引擎内存损坏漏洞	7.5/7.0
CVE-2024-38189	Microsoft Project远程代码执行漏洞	8.8/8.2
CVE-2024-38193	Windows WinSock辅助功能驱动本地权限提升漏洞	7.8/7.2
CVE-2024-38213	Windows网络标记(MOTW)安全功能绕过漏洞	6.5/6.0
CVE-2024-21302	Windows Secure Kernel Mode本地权限提升漏洞	6.7/6.1
CVE-2024-38199	Windows Line Printer Daemon(LPD)服务远程代码执行漏洞	9.8/8.5
CVE-2024-38200	Microsoft Office欺骗漏洞	6.5/5.7
CVE-2024-38202	Windows Update Stack本地权限提升漏洞	7.3/6.9

CVE-2024-38106：Windows Kernel本地权限提升漏洞

该漏洞已发现在野利用。此漏洞是Windows Kernel中的敏感数据存储于加锁不恰当的内存区域漏洞（CWE-591）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。成功利用此漏洞需要攻击者赢得竞争条件。

CVE-2024-38107：Windows Power Dependency Coordinator本地权限提升漏洞

该漏洞已发现在野利用。此漏洞是Windows Power Dependency Coordinator中的释放后重用UAF漏洞（CWE-416）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-38178：Jscript9脚本引擎内存损坏漏洞

该漏洞已发现在野利用。此漏洞是Windows Jscript9脚本引擎中的类型混淆漏洞（CWE-843）。未经身份认证的远程攻击者通过向经过身份认证的受害者发送特制的URL，并说服受害者用Edge打开该URL来利用此漏洞，成功利用此漏洞的攻击者可以获得在受害者系统上下文执行任意代码的能力。此漏洞在Microsoft Edge的Internet Explorer模式下触发。

CVE-2024-38189：Microsoft Project远程代码执行漏洞

该漏洞已发现在野利用。此漏洞是Microsoft Project中的不正确输入验证漏洞（CWE-20）。要利用该漏洞，需要受害者在系统上打开恶意的Microsoft Office Project文件，但该系统中的“阻止宏通过Internet在Office文件中运行”策略已被禁用，并且“VBA宏通知设置”也未启用，从而允许攻击者执行远程代码执行。此漏洞可通过“电子邮件”和“Web网站”两种场景进行利用。

CVE-2024-38193：Windows WinSock辅助功能驱动本地权限提升漏洞

该漏洞已发现在野利用。此漏洞是Windows WinSock辅助功能驱动中的释放后重用UAF漏洞（CWE-416）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-38213：Windows网络标记(MOTW)安全功能绕过漏洞

该漏洞已发现在野利用。此漏洞是Windows网络标记(MOTW)中的保护机制缺失漏洞（CWE-693）。远程攻击者通过受害者发送恶意文件并诱使他们打开它来利用此漏洞，成功利用此漏洞的攻击者可以绕过SmartScreen安全功能。

CVE-2024-21302：Windows Secure Kernel Mode本地权限提升漏洞

该漏洞被公开披露。此漏洞是Windows Secure Kernel Mode中的不正确访问控制漏洞（CWE-284）。此漏洞允许具有管理员权限的攻击者将当前版本的Windows系统文件替换为旧版本。通过利用此漏洞，攻击者可以重新引入之前已缓解的漏洞，绕过VBS的某些功能，并窃取受VBS保护的数据。

CVE-2024-38199：Windows Line Printer Daemon(LPD)服务远程代码执行漏洞

该漏洞被公开披露。此漏洞是Windows Line Printer Daemon(LPD)服务中的释放后重用UAF漏洞（CWE-416）。未经身份认证的远程攻击者通过向共享的易受攻击的Windows行式打印机守护程序(LPD)服务发送特制的打印任务来利用此漏洞，成功利用此漏洞可能导致在服务器上执行任意代码。

CVE-2024-38200：Microsoft Office欺骗漏洞

该漏洞被公开披露。此漏洞是Microsoft Office中的向未经授权的行为者泄露敏感信息漏洞（CWE-200）。远程攻击者通过创建一个恶意网站（其中包含利用此漏洞的特制文件），然后向受害者发送该网站的链接，并说服受害者点击该链接和打开文件来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的NTLM凭据。

CVE-2024-38202：Windows Update Stack本地权限提升漏洞

该漏洞被公开披露。此漏洞是Windows Update Stack中的不正确的访问控制漏洞（CWE-284）。具有基本用户权限的攻击者能够重新引入之前已缓解的漏洞或绕过VBS的某些功能。要成功利用此漏洞，攻击者必须说服或诱骗管理用户执行系统还原。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

漏洞利用可能性较大的漏洞

CVE	漏洞名称	CVSS3.1
CVE-2024-38063	Windows TCP/IP远程代码执行漏洞	9.8/8.5
CVE-2024-38125	Kernel Streaming WOW Thunk服务驱动本地权限提升漏洞	7.8/6.8
CVE-2024-38144	Kernel Streaming WOW Thunk服务驱动权限提升漏洞	8.8/7.7
CVE-2024-38133	Windows Kernel本地权限提升漏洞	7.8/6.8
CVE-2024-38141	Windows WinSock辅助功能驱动本地权限提升漏洞	7.8/6.8
CVE-2024-38147	Microsoft DWM核心库本地权限提升漏洞	7.8/6.8
CVE-2024-38150	Microsoft DWM核心库本地权限提升漏洞	7.8/6.8
CVE-2024-38148	Windows Secure Channel拒绝服务漏洞	7.5/6.5
CVE-2024-38163	Windows Update Stack本地权限提升漏洞	7.8/6.8
CVE-2024-38196	Windows通用日志文件系统驱动本地权限提升漏洞	7.8/6.8
CVE-2024-38198	Windows Print Spooler权限提升漏洞	7.5/6.5

CVE-2024-38063：Windows TCP/IP远程代码执行漏洞

此漏洞是Windows TCP/IP中的整数下溢或回绕漏洞（CWE-191）。未经身份认证的攻击者可以向Windows计算机反复发送包含特制数据包的IPv6数据包，从而可以实现远程代码执行。

临时缓解措施：如果目标系统禁用IPv6，系统不会受到影响。

CVE-2024-38125、CVE-2024-38144：Kernel Streaming WOW Thunk服务驱动权限提升漏洞

CVE-2024-38125是Kernel Streaming WOW Thunk服务驱动中的数字截断错误（CWE-197）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-38144是Kernel Streaming WOW Thunk服务驱动中的整数上溢或回绕漏洞（CWE-190）。经过普通用户身份认证的远程攻击者通过将特制的数据传递给目标系统来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-38133：Windows Kernel本地权限提升漏洞

该漏洞是Windows Kernel中的对特殊元素的转义处理不恰当漏洞（CWE-138）。攻击者可以通过诱骗用户向恶意服务器发送请求来利用此漏洞。这可能导致服务器返回恶意数据，从而导致在用户系统上执行任意代码。成功利用此漏洞的攻击者可以获得SYSTEM权限。

CVE-2024-38141：Windows WinSock辅助功能驱动本地权限提升漏洞

该漏洞是Windows WinSock辅助功能驱动中的释放后重用UAF漏洞（CWE-416）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-38147、CVE-2024-38150：Microsoft DWM核心库本地权限提升漏洞

这些漏洞都是Microsoft DWM核心库中的释放后重用UAF漏洞（CWE-416）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-38148：Windows Secure Channel拒绝服务漏洞

该漏洞是Windows Secure Channel中的越界读漏洞（CWE-125）。未经身份认证的远程攻击者可以触发目标系统中的越界读取漏洞，并导致目标系统拒绝服务。

CVE-2024-38163：Windows Update Stack本地权限提升漏洞

该漏洞是Windows Update Stack中的访问控制不当漏洞（CWE-284）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-38196：Windows通用日志文件系统驱动本地权限提升漏洞

该漏洞是Windows通用日志文件系统驱动中的不正确的输入验证漏洞（CWE-20）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-38198：Windows Print Spooler权限提升漏洞

该漏洞是Windows Print Spooler中的数据真实性验证不足漏洞（CWE-345）。经过普通用户身份认证的远程攻击者通过将特制的数据传递给目标系统来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。成功利用此漏洞需要攻击者赢得竞争条件。

高评分漏洞

CVE	漏洞名称	CVSS3.1
CVE-2024-38140	Windows可靠的组播传输驱动(RMCAST)远程代码执行漏洞	9.8/8.5
CVE-2024-38159	Windows Network Virtualization远程代码执行漏洞	9.1/7.9
CVE-2024-38160	Windows Network Virtualization远程代码执行漏洞	9.1/7.9

CVE-2024-38140：Windows可靠的组播传输驱动(RMCAST)远程代码执行漏洞

该漏洞是Windows可靠的组播传输驱动(RMCAST)中的释放后重用UAF漏洞（CWE-416）。未经身份认证的远程攻击者可以通过向服务器上的Windows Pragmatic General Multicast(PGM)开放套接字发送特制的数据包来利用此漏洞，而无需用户进行任何交互。

CVE-2024-38159、CVE-2024-38160：Windows Network Virtualization远程代码执行漏洞

CVE-2024-38159是Windows Network Virtualization中的释放后重用UAF漏洞（CWE-416）。CVE-2024-38159是Windows Network Virtualization中的堆溢出漏洞（CWE-122）。为了成功利用这些漏洞，攻击者或目标用户需要对机器实现高级别的控制，因为攻击需要访问通常限制普通用户访问的进程。

攻击者可以利用Windows Server 2016的wnv.sys组件中未经检查的返回值来利用此漏洞。通过操纵内存描述符表(MDL)的内容，攻击者可以导致未经授权的内存写入，甚至释放当前正在使用的有效块，从而导致关键的客户机到主机的逃逸。

0x02 影响版本

影响多个主流版本的Windows，多个主流版本的Microsoft系列软件。

0x03 修复建议

Windows自动更新

Windows系统默认启用Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。