【风险提示】天融信关于微软2024年12月安全更新的风险提示

0x00 背景介绍

2024年12月11日，天融信阿尔法实验室监测到微软官方发布了12月安全更新。此次更新共修复72个漏洞，其中16个严重漏洞(Critical)、55个重要漏洞(Important)、1个中危漏洞(Moderate)。其中权限提升漏洞27个、远程代码执行漏洞31个、信息泄露漏洞7个、拒绝服务漏洞5个、欺骗漏洞2个。

本次微软安全更新涉及组件包括：Windows Common Log File System Driver、Microsoft Office SharePoint、Windows Resilient File System (ReFS)、Windows Message Queuing、Windows Cloud Files Mini Filter Driver、Windows LDAP - Lightweight Directory Access Protocol、Windows Routing and Remote Access Service (RRAS)、Windows Remote Desktop、Windows Wireless Wide Area Network Service等多个产品和组件。

微软本次修复中，CVE-2024-49138被在野利用。

0x01 重点漏洞描述

本次微软更新中重点漏洞的信息如下所示。

在野利用和公开披露漏洞

CVE-2024-49138：Windows通用日志文件系统驱动本地权限提升漏洞

此漏洞已发现在野利用。此漏洞是Windows通用日志文件系统驱动中的堆溢出漏洞（CWE-122），CVSS3.1评分为7.8/6.8。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

漏洞利用可能性较大的漏洞

CVE	漏洞名称	CVSS3.1
CVE-2024-49070	Microsoft SharePoint远程代码执行漏洞	7.4/6.4
CVE-2024-49088	Windows通用日志文件系统驱动本地权限提升漏洞	7.8/6.8
CVE-2024-49090	Windows通用日志文件系统驱动本地权限提升漏洞	7.8/6.8
CVE-2024-49093	Windows Resilient File System(ReFS)本地权限提升漏洞	8.8/7.7
CVE-2024-49122	Microsoft消息队列(MSMQ)远程代码执行漏洞	8.1/7.1
CVE-2024-49114	Windows Cloud Files微过滤器驱动本地权限提升漏洞	7.8/6.8

CVE-2024-49070：Microsoft SharePoint远程代码执行漏洞

此漏洞是Microsoft SharePoint中的不受信任数据的反序列化漏洞（CWE-502）。未经身份认证的本地攻击者可以利用此漏洞在目标环境上下文中执行任意代码。

CVE-2024-49088、CVE-2024-49090：Windows通用日志文件系统驱动本地权限提升漏洞

CVE-2024-49088是Windows通用日志文件系统驱动中的缓冲区过度读取漏洞（CWE-126），CVE-2024-49090是该驱动中的不可信指针解引用漏洞（CWE-822）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-49093：Windows Resilient File System(ReFS)本地权限提升漏洞

此漏洞是Windows Resilient File System(ReFS)中的数字类型间的错误转换漏洞（CWE-681）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

CVE-2024-49122：Microsoft消息队列(MSMQ)远程代码执行漏洞

此漏洞是Microsoft消息队列(MSMQ)中的释放后重用漏洞（CWE-416）。未经身份认证的远程攻击者通过向MSMQ服务器发送特制的恶意MSMQ数据包来利用此漏洞，这可能导致在服务器端执行远程代码。成功利用此漏洞需要攻击者赢得竞争条件。

CVE-2024-49114：Windows Cloud Files微过滤器驱动本地权限提升漏洞

此漏洞是Windows Cloud Files微过滤器驱动中的缺少同步漏洞（CWE-820）。经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

高评分漏洞

CVE	漏洞名称	CVSS3.1
CVE-2024-49112	Windows轻型目录访问协议(LDAP)远程代码执行漏洞	9.8/8.5
CVE-2024-49085	Windows路由和远程访问服务(RRAS)远程代码执行漏洞	8.8/7.7
CVE-2024-49106	Windows远程桌面服务远程代码执行漏洞	8.1/7.1

CVE-2024-49112：Windows轻型目录访问协议(LDAP)远程代码执行漏洞

此漏洞是Windows轻型目录访问协议(LDAP)中的整数溢出或回绕漏洞（CWE-190）。未经身份认证的远程攻击者通过一组特制的LDAP调用来获取代码执行权限，从而在LDAP服务的上下文中执行任意代码。本月更新中还有多个此组件的漏洞，欲知详情请查看微软的安全公告。

CVE-2024-49085：Windows路由和远程访问服务(RRAS)远程代码执行漏洞

此漏洞是Windows路由和远程访问服务(RRAS)中的整数溢出或回绕漏洞（CWE-190）和堆溢出漏洞（CWE-122）。未经身份认证的远程攻击者通过诱骗用户向恶意服务器发送请求来利用此漏洞。这可能导致服务器返回恶意数据，从而导致在用户系统上执行任意代码。本月更新中还有多个此组件的漏洞，欲知详情请查看微软的安全公告。

CVE-2024-49106：Windows远程桌面服务远程代码执行漏洞

此漏洞是Windows远程桌面服务中的敏感数据存储在未正确锁定的内存中漏洞（CWE-591）和释放后重用漏洞（CWE-416）。未经身份认证的远程攻击者通过向具有远程桌面网关角色的系统发送特制HTTPS请求来利用此漏洞，这会触发远程桌面服务中的条件竞争漏洞，并导致释放后重用漏洞，然后利用此漏洞执行任意代码，从而成功利用此漏洞。本月更新中还有多个此组件的漏洞，欲知详情请查看微软的安全公告。

0x02 影响版本

影响多个主流版本的Windows，多个主流版本的Microsoft系列软件。

0x03 修复建议

Windows自动更新

Windows系统默认启用Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。