网络安全预警通报
2024年第2期
网络与计算中心 2024年04月11日
【预警类型】
高危预警
【预警内容】
Microsoft 发布 2024 年 4 月安全更新(含多个高危漏洞补丁)
一、 漏洞概述
微软发布4月安全更新补丁,修复了 147 个安全问题,其中3个严重漏洞(Critical),142个重要漏洞(Important)。
预警描述:此次安全更新包含了多个软件的安全更新补丁:Microsoft Install Service、Windows Remote Access Connection Manager、Windows Kernel、Windows Telephony Server、libarchive和Microsoft Defender for IoT等。
二、漏洞详情
1、用于 IoT 的 Microsoft Defender 远程代码执行漏洞(CVE-2024-21322)
该漏洞是由于 Microsoft Defender for IoT 中的存在命令注入所致。远程管理员可以将特制数据传递给应用程序并在目标系统上执行任意命令。
2、用于 IoT 的 Microsoft Defender 远程代码执行漏洞(CVE-2024-21323)
经过身份认证并获得启动更新过程所需的权限的远程攻击者可利用此漏洞,使用路径遍历可向 Defender for IoT 传感器发送 tar 文件,提取过程完成后,攻击者可以发送未签名的更新包并覆盖他们选择的任何文件,从而造成远程代码执行。
3、Microsoft 安装服务权限提升漏洞(CVE-2024-26158 )
由于Microsoft 安装服务存在文件访问前的不正确链接解析,具有低权限的本地攻击者成功利用此漏洞可以获得系统特权。
4、Win32k 权限提升漏洞(CVE-2024-26241)
由于Win32K存在释放后重用,具有低权限的本地攻击者成功利用此漏洞可以获得系统特权。
5、Windows 远程访问连接管理器权限提升漏洞(CVE-2024-26211)
该漏洞是由于 Windows 远程访问连接管理器中存在基于堆的缓冲区溢出造成的。具有低权限的本地攻击者成功利用该漏洞可以获得系统特权。
6、代理驱动程序欺骗漏洞(CVE-2024-26234)
通过滥用 Microsoft Windows 硬件兼容性计划签名,经过攻击者利用签名的后门可被Windows视为合法白文件执行。
7、Microsoft 本地安全认证子系统服务信息泄露漏洞(CVE-2024-26209)
该漏洞是由于Microsoft 本地安全认证子系统服务中存在使用未初始化的资源所致。如果攻击者成功利用此漏洞,则可以泄露未初始化的内存信息。
8、Windows 身份验证权限提升漏洞(CVE-2024-29056)
该漏洞由于Windows 身份验证中存在使用有风险的加密算法所致。具有来自跨组织信任用户的攻击者成功利用该漏洞可能获得组织中所有用户授予的访问权限。成功利用此漏洞的攻击者可以查看一些敏感信息,但并非受影响组件中的所有资源都会泄露给攻击者。攻击者无法对泄露的信息进行更改或限制对资源的访问。
9、DHCP 服务器服务拒绝服务漏洞(CVE-2024-26212)
该漏洞是由于 DHCP 服务器服务中存在不受控制的资源消耗。未经身份验证的远程攻击者可以向服务器发送特制的流量触发该漏洞,成功利用该漏洞将造成服务器崩溃。
10、Windows 内核权限提升漏洞(CVE-2024-26218)
该漏洞是由于Windows内核中存在检查时间和使用时间竞争条件,具有低权限的本地攻击者成功利用该漏洞可以获得系统特权。
11、Libarchive 远程代码执行漏洞(CVE-2024-26256)
该漏洞是由于Libarchive中存在基于堆的缓冲区溢出所致。未经授权的攻击者需要诱导受害者将恶意文件保存到本地,等待用户启动连接后触发该漏洞造成任意代码执行。
12、SmartScreen 提示安全功能绕过漏洞(CVE-2024-29988)
由于SmartScreen 提示安全功能保护机制失效,未经身份认证的远程攻击者通过发送带有压缩文件的利用载荷后诱骗受害者与之交互,可以绕过"网页标记"功能,从而在目标系统上执行恶意代码。
漏洞影响范围:
.NET and Visual Studio
Azure
Azure AI Search
Azure Arc
Azure Compute Gallery
Azure Migrate
Azure Monitor
Azure Private 5G Core
Azure SDK
Intel
Internet Shortcut Files
Microsoft Azure Kubernetes Service
Microsoft Brokering File System
Microsoft Defender for IoT
Microsoft Edge (Chromium-based)
Microsoft Install Service
Microsoft Office Excel
Microsoft Office Outlook
Microsoft Office SharePoint
Microsoft WDAC ODBC Driver
Microsoft WDAC OLE DB provider for SQL
Role: DNS Server
Role: Windows Hyper-V
SQL Server
Windows Authentication Methods
Windows BitLocker
Windows Compressed Folder
Windows Cryptographic Services
Windows DHCP Server
Windows DWM Core Library
Windows Defender Credential Guard
Windows Distributed File System (DFS)
Windows File Server Resource Management Service
Windows HTTP.sys
Windows Internet Connection Sharing (ICS)
Windows Kerberos
Windows Kernel
Windows Local Security Authority Subsystem Service (LSASS)
Windows Message Queuing
Windows Mobile Hotspot
Windows Proxy Driver
Windows Remote Access Connection Manager
Windows Remote Procedure Call
Windows Routing and Remote Access Service (RRAS)
Windows Secure Boot
Windows Storage
Windows Telephony Server
Windows USB Print Driver
Windows Update Stack
Windows Virtual Machine Bus
Windows Win32K – ICOMP
三、处置建议
为确保重要网络系统安全,防止发生重大网络安全事件,请组织本单位排查相关软件使用情况,并在确保安全的前提下进行如下操作:
微软官方已发布安全补丁修复上述漏洞,建议相关用户及时确认漏洞影响,尽快采取修补措施,避免引发漏洞相关的网络安全事件。
补丁链接:https://msrc.microsoft.com/update-guide/releaseNote/2024-A。
内容 | 李昌
编辑 | 王彬
审核 | 陈兰