漏洞 微软

微软在今年11月的例行补丁日中发布了一批重要更新。

2024年11月的Windows更新包含了针对Windows、Office和SQL Server的关键修复。

对用户和系统管理员来说是个好消息，微软这次只将其中4个漏洞标记为"严重"级别。大部分漏洞（89个中的84个）被列为"重要"级别，这类漏洞通常需要攻击者已经获得系统的本地访问权限才能利用。

目前有5个漏洞正在被黑客积极利用，这些漏洞的测试和修复应当被列为首要任务。

其中最紧急的漏洞之一是CVE-2024-43451。这是一个目前正遭受攻击的IE浏览器密钥泄露漏洞。黑客可以利用MSHTML中的一个漏洞来获取受害者的NTLMv2哈希值。

趋势科技零日漏洞计划的研究员Dustin Childs指出："虽然这类攻击需要用户交互才能实现，但似乎并不影响攻击的成功率。虽然微软没有透露这些攻击的具体规模，但我建议不要等待，尽快测试和部署这个更新。"

另一个需要优先处理的是CVE-2024-43639漏洞。这个CVSS评分高达9.8分的漏洞允许攻击者通过Kerberos命令在存在漏洞的Windows Server系统上实现远程代码执行。

Childs提醒说："由于Kerberos运行时具有较高权限，这使得该漏洞可以在受影响的系统之间蔓延。哪些系统会受影响？所有受支持的Windows Server版本。"

其他高优先级的修复还包括：一个正被积极利用的Windows任务计划程序权限提升漏洞（CVE-2024-49039），以及一个.NET和Visual Studio远程代码执行漏洞（CVE-2024-43498）。

剩余的漏洞主要出现在Azure、Office和SQL Server中。这些漏洞的危险程度相对较低，因为它们无法被远程利用。

Childs解释说："这些漏洞需要受影响的系统连接到恶意SQL数据库才能被利用，因此被利用的可能性相当低。不过有一个SQL漏洞需要特别注意，CVE-2024-49043不仅需要更新OLE DB驱动程序18或19版本，还可能需要第三方修复。建议仔细阅读相关说明，确保应用所有必要的修复。"

0day

两个被积极利用的0day是：

• CVE-2024-43451：NTLM 哈希泄露欺骗漏洞，只需极少的用户交互（例如选择或右键单击恶意文件）即可将 NTLMv2 哈希暴露给远程攻击者。

• CVE-2024-49039：Windows 任务计划程序特权提升漏洞，允许攻击者执行通常仅限于特权帐户的 RPC 功能，可能导致未经授权的代码执行或资源访问。

此外，还解决了两个已公开披露但未被主动利用的漏洞：

•    CVE-2024-49040：Microsoft Exchange Server 欺骗漏洞，使威胁行为者能够将发件人的电子邮件地址欺骗给本地收件人。

• CVE-2024-49041：Windows MSHTML 平台欺骗漏洞，可利用该漏洞欺骗用户与恶意内容进行交互。

【原文来源：独眼情报中心】