最后更新于2024年8月20日星期二17:46:27 GMT

微软正在解决88个漏洞 2024年8月补丁星期二. 微软有证据表明,今天发布的10个漏洞被肆意利用和/或公开披露, 这比平常多了很多. 在撰写本文时,列出了今天修补的所有六个已知被利用的漏洞 中钢协KEV. 微软今天还修补了五个关键的远程代码执行(RCE)漏洞. 本月已经分别发布了11个浏览器漏洞, 和不包括在总数中.

补丁星期二的观察者会知道,今天的4个公开披露的漏洞和6个进一步利用的漏洞比平时要大得多. 我们将首先解决那些公开披露但没有补丁可用的漏洞:上周在黑帽大会上披露的值得注意的Windows OS降级攻击. 然后,我们将检查今天发布的微软知道已经在野外被利用的漏洞, 然后看看本月公布的其他公开披露的漏洞.

Windows Update: 50%修补零日下载攻击

重要的是:如果你打过补丁的Windows资产突然没有打补丁怎么办, 直至并包括管理程序? 这是在黑帽演讲中提出并回答的问题 SafeBreach 上周. 作为回应,微软发布了两个漏洞. 早在2024年2月,微软就首次收到了这些漏洞的通知, 顾问们也承认,黑帽大会的演讲“与微软进行了适当的协调”.”

cve - 2024 - 38202 描述Windows更新堆栈中的权限提升漏洞, 而且攻击者需要说服管理用户执行系统恢复——这很不寻常, 当然, 但是社会工程师可以完成很多事情. 微软乐观地认为利用这个漏洞的可能性不大. 该通知没有解释具有基本权限的用户如何修改目标资产的System目录, 哪些是需要植入恶意系统还原文件的, 虽然 SafeBreach帐面价值 能否详细地解释这个缺陷. 目前还没有可用的补丁, 尽管该公告指出,缓解这一威胁的安全更新正在开发中. 微软提供了几个推荐的操作, 哪些不能减轻漏洞, 但至少可以为攻击提供额外的障碍,并为攻击面和攻击尝试提供一些有用的额外可见性. 一个可能的结果是,攻击者可以修改完整性和修复实用程序,使其不再检测Windows系统文件中的损坏.

cve - 2024 - 21302 是SafeBreach发现的降级攻击对的后半部分吗. 漏洞利用允许具有管理员权限的攻击者用旧版本替换更新的Windows系统文件,从而重新引入漏洞 VBS(虚拟化安全). Patches are available; however, 防御者必须注意补丁不会自动修复资产, 而是提供了一个微软签名的可选撤销策略, 这带来了启动循环的风险,如果应用,然后不正确地恢复. 重要的指导可在 KB5042562:阻止回退VBS相关安全更新的指导.

Windows WinSock:零日EoP

继续讨论已知的被利用的漏洞:WinSock的Windows辅助功能驱动程序收到了一个针对被利用的特权提升漏洞的补丁 cve - 2024 - 38193. 成功的利用是通过一个释放后使用的内存管理错误, 并可能导致系统特权. 公告没有提供进一步的线索, 而是存在于野外的开发, 低攻击复杂度, 不涉及用户交互, 要求的特权也很低, 这是一个需要立即修补以防止恶意软件入侵的程序.

Windows电源依赖协调器:零日EoP

而我们看到的是野外利用, Use-after-free漏洞和极简建议: cve - 2024 - 38107 还会通过滥用Windows电源依赖协调器导致系统特权 允许Windows电脑几乎立即唤醒 从睡梦中. 当然, 没有什么是免费的:这个漏洞不需要用户交互, 攻击复杂度低, 并且要求较低的特权. 尽快修补所有Windows资产.

Windows内核:零日EoP

仍然是关于野外利用,提升到系统漏洞的话题: cve - 2024 - 38106 要求攻击者赢得符合CWE-591的竞争条件:敏感数据存储在不正确锁定的内存中. 尽管对于 cve - 2024 - 38106 没有提供进一步的细节吗, 一个合理的假设是,该漏洞可能类似于 cve - 2023 - 36403,其中利用依赖于Windows内核处理锁的方式中的一个缺陷 注册中心虚拟化, 它允许Windows将全局影响的注册表读/写操作重定向到每个用户位置,以支持不兼容uac的遗留应用程序. 奇怪的是,Windows Server 2012没有收到补丁 cve - 2024 - 38106, 因此,这个漏洞要么是在后来的代码库中引入的, 或者微软希望攻击者不会注意到.

Windows SmartScreen:零日mow绕过

cve - 2024 - 38213 描述当前所有Windows产品中的Web标记(MotW)安全绕过漏洞. 说服用户打开恶意文件的攻击者可以绕过SmartScreen, 哪一种通常会提醒用户注意从互联网下载的文件, 哪些Windows会贴上“MotW”的标签. cve - 2024 - 38213 与2024年2月发布的类似的SmartScreen绕过技术相比,它对攻击者的效用可能更小, 因为不像今天的祭品, 建议为前 cve - 2024 - 21351 他还描述了向SmartScreen本身注入代码的可能性. 今天的cve - 2024 - 38213较低的CVSSv3基本分数反映了这种差异.

Edge Internet 探索r模式:零日EoP

虽然边缘RCE漏洞 cve - 2024 - 38178 是已知在野外被利用的吗, 它可能不会成为本月任何人最关心的问题. 该建议澄清说,成功利用攻击者不仅需要说服用户点击恶意链接, 还要首先准备目标资产,以便它在Internet 探索r模式下使用Edge. IE Mode provides backwards-compatibility functionality so that users can view legacy websites which rely on the fascinating idiosyncrasies of Internet 探索r; such sites are often served by enterprise legacy web applications, 这就很好地解释了微软为什么要继续保留ie浏览器. 如果尚未在目标资产上启用, 攻击者必须修改Edge设置,以启用“允许在Internet 探索r中重新加载站点”设置. 随后的利用将包括说服用户在Edge中打开Internet 探索r模式选项卡,然后打开恶意URL. Remediation involves patching Windows itself; all current versions of Windows are affected.

Microsoft Project:零日RCE

本月的六个“野外利用”漏洞是 cve - 2024 - 38189,它描述了Microsoft Project中的RCE. 攻击者需要说服用户打开一个恶意文件, 只有在"阻止宏在来自Internet的Office文件中运行“ policy被禁用-默认情况下是启用的-而”VBA宏通知设置的水平设置得足够低.  令人高兴的是,在这种情况下,预览窗格不是攻击向量.

Microsoft Office:零日欺骗

上周公布,承认其公开披露, 并在今天为所有当前版本的Office打了补丁, cve - 2024 - 38200 描述欺骗漏洞. 利用需要用户点击一个恶意链接. 尽管该报告没有描述其影响, 弱点是CWE-200:将敏感信息暴露给未经授权的参与者, 和 the FAQ mentions outgoing NTLM traffic; reading between the lines, NTLM哈希值很可能在被成功利用后暴露.

该建议提出了可能已经适用的缓解因素, 或者可能有助于改进安全状态:将用户添加到受保护用户安全组, 阻止使用NTLM身份验证, 并阻止到端口445的出站SMB连接. 在某些情况下,这两种缓解措施都可能破坏遗留身份验证.

有些异常, 微软声称已经两次修复了这个漏洞, 因为除了今天的补丁, 在2024年7月30日,针对所有支持的Office和365版本,通过Feature flight启用了一个替代修复. 微软仍然建议客户更新到2024-08-13补丁,以获得最终版本的修复程序. 有些令人困惑的是, the FAQ then goes on to say that the Security 更新 table will be revised when the update is publicly available; however, 微软很可能会在不久的将来更新FAQ,以澄清这是一个小的FAQ编辑疏忽,而不是建议进一步的补丁.

Windows行打印机守护进程:零日RCE

行打印机守护程序(LPD)漏洞就像公共汽车一样:您需要等待很长时间才能等到一辆, 然后两个快速连续出现. 上个月的拒绝服务漏洞现在加入了 cve - 2024 - 38199公开披露的RCE漏洞. 利用要求攻击者通过网络向共享的易受攻击的Windows Line Printer Daemon服务发送恶意打印任务. 许多管理员不需要担心这个漏洞,因为微软一直在担心 鼓励 所有人都离开LPD近十年了, 而且在Server 2012之后的Windows产品上默认不会安装它. 仍然, Windows Server 2008 SP2版本有补丁, 服务器2022年23H2, 以及介于两者之间的一切.

Windows TCP/IP IPv6:关键RCE

有些漏洞被描述为远程代码执行, 但要求用户点击一个可疑的链接或打开一个恶意文件. 然而,情况并非如此 cve - 2024 - 38063,它描述了Windows IPv6堆栈中的整数下流/环绕. 说明攻击者可以通过重复发送IPv6报文来实现RCE, 包括特别制作的包, 到Windows资源.

与一个基本的CVSSv3得分9.8, 唯一能让cve - 2024 - 38063免于满分10分的是它没有改变作用域, 但是由于成功利用可能会导致RCE具有SYSTEM特权, 这可能是学术上的区别. 所有版本的Windows都会受到影响, 除非IPv6栈(默认是启用的)被禁用. 请注意,从网络接口解除绑定IPv6堆栈与 在资产上完全禁用IPv6.

一个详细的 对cve - 2024 - 38063的快速分析可在AttackerKB上获得,包括对攻击者值的讨论,以及基于补丁差异的观察. 这个分析在直接触发漏洞和直接触发漏洞之间得出了一个重要的区别. 成功实现远程代码执行, 因为后者通常比简单地导致整数下溢要困难得多. The Windows kernel employs numerous techniques to frustrate memory corruption attacks; older Windows products offer fewer protections than the most recent ones, 并且至少从Server 2008开始就很脆弱.

此时最好的保护是应用微软的官方补丁. 如果这是不可能的,在网络适配器上禁用IPv6是下一个最好的缓解措施. 组织还可以评估其网络是否需要IPv6流量.

cve - 2024 - 38063不一定展示IPv6安全的任何具体内容, 因为这不是协议错误, 而是微软IPv6协议栈实现中的一个漏洞. 这意味着Linux和其他使用IPv6的系统将完全不受影响.

尽可能减少攻击面总是有用的, 特别是在删除或禁用可能使用户暴露于技术堆栈中的漏洞的功能时,这些用户不会直接利用这些漏洞. 在IPv6的情况下, 大多数Windows用户可能不需要IPv6, 他们的网络很可能仍然只使用IPv4. 在企业环境中,这可能不是真的, 哪里可能需要IPv6, 因此,在某些环境中禁用该协议可能是不可能的.

SharePoint & 交换更新

作为对那些可能正在关注他们的待办事项清单的捍卫者的一种橄榄枝, 微软本月没有发布任何SharePoint或Exchange漏洞.

微软生命周期更新

所有Mac版本的Visual Studio将于2024-08-31退休,并且在此日期之后将不再接受任何进一步的更新(包括安全补丁). 这个网址似乎预料到有些人会有问题: http://learn.microsoft.com/en-us/visualstudio/mac/what-happened-to-vs-for-mac. 微软建议Visual Studio Code的c# Dev Kit作为一个可能的选择.

总结图表

一个柱状图显示了受影响组件的漏洞分布,微软补丁于2024年8月星期二发布
一张柱状图显示了2024年8月星期二微软补丁的影响类型的漏洞分布
这张热图显示了2024年8月星期二微软补丁的影响和受影响组件的漏洞分布

汇总表

应用程序的漏洞

CVE Title 利用? 公开披露? CVSSv3基本分数
cve - 2024 - 38177 Windows应用程序安装程序欺骗漏洞 No No 7.8

Azure的漏洞

CVE Title 利用? 公开披露? CVSSv3基本分数
cve - 2024 - 38108 Azure堆栈中心欺骗漏洞 No No 9.3
cve - 2024 - 38109 Azure运行状况Bot特权提升漏洞 No No 9.1
cve - 2024 - 38195 Azure CycleCloud远程代码执行漏洞 No No 7.8
cve - 2024 - 38098 Azure连接机器代理权限提升漏洞 No No 7.8
cve - 2024 - 38162 Azure连接机器代理权限提升漏洞 No No 7.8
cve - 2024 - 38201 Azure堆栈集线器特权提升漏洞 No No 7

浏览器的漏洞

CVE Title 利用? 公开披露? CVSSv3基本分数
cve - 2024 - 38218 Microsoft Edge(基于html的)内存损坏漏洞 No No 8.4
cve - 2024 - 38219 Microsoft Edge(基于chromium)远程代码执行漏洞 No No 6.5
cve - 2024 - 7536 Chromium: cve - 2024 - 7550 V8中的类型混淆 No No N/A
cve - 2024 - 7535 Chromium: cve - 2024 - 7536免费后在WebAudio中使用 No No N/A
cve - 2024 - 7534 Chromium: cve - 2024 - 7535 V8中不适当的实现 No No N/A
cve - 2024 - 7533 Chromium: cve - 2024 - 7534布局中的堆缓冲区溢出 No No N/A
cve - 2024 - 7532 Chromium: cve - 2024 - 7533免费共享后使用 No No N/A
cve - 2024 - 7550 Chromium: cve - 2024 - 7532在ANGLE中越界访问内存 No No N/A
cve - 2024 - 7256 Chromium: cve - 2024 - 7256黎明数据验证不足 No No N/A
cve - 2024 - 7255 Chromium: cve - 2024 - 7255 WebTransport读取越界 No No N/A
cve - 2024 - 6990 Chromium: cve - 2024 - 6990黎明未初始化使用 No No N/A
cve - 2024 - 38222 Microsoft Edge(基于chromium)信息泄露漏洞 No No N/A

开发人员工具漏洞

CVE Title 利用? 公开披露? CVSSv3基本分数
cve - 2024 - 38168 .. NET和Visual Studio拒绝服务漏洞 No No 7.5
cve - 2024 - 38157 Azure IoT SDK远程代码执行漏洞 No No 7
cve - 2024 - 38158 Azure IoT SDK远程代码执行漏洞 No No 7
cve - 2024 - 38167 .. NET和Visual Studio信息泄露漏洞 No No 6.5

水手Windows ESU漏洞

CVE Title 利用? 公开披露? CVSSv3基本分数
cve - 2022 - 2601 Redhat: cve - 2022 - 2601 grub2 - grub_font_construct_glyph()中的缓冲区溢出可能导致写溢出并可能导致安全启动绕过 No No 8.6
cve - 2022 - 3775 Redhat: cve - 2022 - 3775 grub2 -在渲染某些Unicode序列时基于堆的越界写入 No No 7.1

Microsoft Dynamics漏洞

CVE Title 利用? 公开披露? CVSSv3基本分数
cve - 2024 - 38166 Microsoft Dynamics 365跨站点脚本漏洞 No No 8.2
cve - 2024 - 38211 Microsoft Dynamics 365(本地)跨站点脚本漏洞 No No 8.2

Microsoft Office漏洞

CVE Title 利用? 公开披露? CVSSv3基本分数
cve - 2024 - 38189 微软项目远程代码执行漏洞 是的 No 8.8
cve - 2024 - 38206 Microsoft Copilot Studio信息泄露漏洞 No No 8.5
cve - 2024 - 38171 Microsoft PowerPoint远程代码执行漏洞 No No 7.8
cve - 2024 - 38084 Microsoft OfficePlus特权提升漏洞 No No 7.8
cve - 2024 - 38169 Microsoft Office Visio远程代码执行漏洞 No No 7.8
cve - 2024 - 38172 Microsoft Excel远程代码执行漏洞 No No 7.8
cve - 2024 - 38170 Microsoft Excel远程代码执行漏洞 No No 7.1
cve - 2024 - 38173 Microsoft Outlook远程代码执行漏洞 No No 6.7
cve - 2024 - 38197 微软iOS欺骗漏洞团队 No No 6.5
cve - 2024 - 38200 Microsoft Office欺骗漏洞 No 是的 6.5

Windows操作系统漏洞

CVE Title 利用? 公开披露? CVSSv3基本分数
cve - 2024 - 38159 Windows网络虚拟化远程代码执行漏洞 No No 9.1
cve - 2024 - 38160 Windows网络虚拟化远程代码执行漏洞 No No 9.1
cve - 2024 - 38163 Windows更新堆栈特权提升漏洞 No No 7.8
cve - 2024 - 38142 Windows安全内核模式特权提升漏洞 No No 7.8
cve - 2024 - 38135 Windows弹性文件系统(ReFS)特权提升漏洞 No No 7.8
cve - 2024 - 38184 Windows内核模式驱动程序特权提升漏洞 No No 7.8
cve - 2024 - 38185 Windows内核模式驱动程序特权提升漏洞 No No 7.8
cve - 2024 - 38186 Windows内核模式驱动程序特权提升漏洞 No No 7.8
cve - 2024 - 38187 Windows内核模式驱动程序特权提升漏洞 No No 7.8
cve - 2024 - 38133 Windows内核特权提升漏洞 No No 7.8
cve - 2024 - 38150 Windows DWM核心库特权提升漏洞 No No 7.8
cve - 2024 - 38215 Windows Cloud Files迷你过滤器驱动程序特权提升漏洞 No No 7.8
cve - 2024 - 38147 Microsoft DWM核心库特权提升漏洞 No No 7.8
cve - 2024 - 38148 Windows安全通道拒绝服务漏洞 No No 7.5
cve - 2024 - 38138 Windows部署服务远程代码执行漏洞 No No 7.5
cve - 2024 - 38202 Windows更新堆栈特权提升漏洞 No 是的 7.3
cve - 2024 - 38136 Windows资源管理器PSM服务扩展特权提升漏洞 No No 7
cve - 2024 - 38137 Windows资源管理器PSM服务扩展特权提升漏洞 No No 7
cve - 2024 - 38106 Windows内核特权提升漏洞 是的 No 7
cve - 2024 - 38161 Windows Mobile宽带驱动程序远程代码执行漏洞 No No 6.8
cve - 2024 - 21302 Windows安全内核模式特权提升漏洞 No 是的 6.7
cve - 2024 - 38165 Windows压缩文件夹篡改漏洞 No No 6.5
cve - 2024 - 38155 安全中心代理信息泄露漏洞 No No 5.5
cve - 2024 - 38123 Windows蓝牙驱动程序信息泄露漏洞 No No 4.4
cve - 2024 - 38143 Windows WLAN AutoConfig服务权限提升漏洞 No No 4.2

Windows ESU漏洞

CVE Title 利用? 公开披露? CVSSv3基本分数
cve - 2024 - 38063 Windows TCP/IP远程代码执行漏洞 No No 9.8
cve - 2024 - 38140 Windows可靠组播传输驱动程序(RMCAST)远程代码执行漏洞 No No 9.8
cve - 2024 - 38199 Windows Line Printer Daemon (LPD)服务远程代码执行漏洞 No 是的 9.8
cve - 2024 - 38180 Windows SmartScreen安全功能绕过漏洞 No No 8.8
cve - 2024 - 38121 Windows路由和远程访问服务(RRAS)远程代码执行漏洞 No No 8.8
cve - 2024 - 38128 Windows路由和远程访问服务(RRAS)远程代码执行漏洞 No No 8.8
cve - 2024 - 38130 Windows路由和远程访问服务(RRAS)远程代码执行漏洞 No No 8.8
cve - 2024 - 38154 Windows路由和远程访问服务(RRAS)远程代码执行漏洞 No No 8.8
cve - 2024 - 38120 Windows路由和远程访问服务(RRAS)远程代码执行漏洞 No No 8.8
cve - 2024 - 38114 Windows IP路由管理Snapin远程代码执行漏洞 No No 8.8
cve - 2024 - 38115 Windows IP路由管理Snapin远程代码执行漏洞 No No 8.8
cve - 2024 - 38116 Windows IP路由管理Snapin远程代码执行漏洞 No No 8.8
cve - 2024 - 38144 内核流WOW Thunk Service驱动程序特权提升漏洞 No No 8.8
cve - 2024 - 38131 剪贴板虚拟通道扩展远程代码执行漏洞 No No 8.8
cve - 2023 - 40547 Redhat: cve - 2023 - 40547 HTTP启动支持中的Shim - RCE可能导致安全启动绕过 No No 8.3
cve - 2024 - 29995 Windows Kerberos特权提升漏洞 No No 8.1
cve - 2024 - 38107 Windows电源依赖协调器特权提升漏洞 是的 No 7.8
cve - 2024 - 38152 Windows OLE远程代码执行漏洞 No No 7.8
cve - 2024 - 38153 Windows内核特权提升漏洞 No No 7.8
cve - 2024 - 38127 Windows Hyper-V特权提升漏洞 No No 7.8
cve - 2024 - 38196 Windows通用日志文件系统驱动程序特权提升漏洞 No No 7.8
cve - 2024 - 38193 WinSock特权提升漏洞的Windows辅助功能驱动程序 是的 No 7.8
cve - 2024 - 38141 WinSock特权提升漏洞的Windows辅助功能驱动程序 No No 7.8
cve - 2024 - 38117 NTFS特权提升漏洞 No No 7.8
cve - 2024 - 38125 内核流WOW Thunk Service驱动程序特权提升漏洞 No No 7.8
cve - 2024 - 38134 内核流WOW Thunk Service驱动程序特权提升漏洞 No No 7.8
cve - 2024 - 38191 内核流服务驱动程序特权提升漏洞 No No 7.8
cve - 2024 - 38198 Windows打印假脱机程序特权提升漏洞 No No 7.5
cve - 2024 - 38126 Windows网络地址转换(NAT)拒绝服务漏洞 No No 7.5
cve - 2024 - 38132 Windows网络地址转换(NAT)拒绝服务漏洞 No No 7.5
cve - 2024 - 38145 Windows Layer-2 Bridge网络驱动程序拒绝服务漏洞 No No 7.5
cve - 2024 - 38146 Windows Layer-2 Bridge网络驱动程序拒绝服务漏洞 No No 7.5
cve - 2024 - 37968 Windows DNS欺骗漏洞 No No 7.5
cve - 2024 - 38178 脚本引擎内存损坏漏洞 是的 No 7.5
cve - 2024 - 38223 Windows初始机器配置特权提升漏洞 No No 6.8
cve - 2024 - 38214 Windows路由和远程访问服务(RRAS)信息泄露漏洞 No No 6.5
cve - 2024 - 38213 Web安全特性绕过漏洞的Windows标记 是的 No 6.5
cve - 2024 - 38151 Windows内核信息泄露漏洞 No No 5.5
cve - 2024 - 38118 Microsoft本地安全授权(LSA)服务器信息泄露漏洞 No No 5.5
cve - 2024 - 38122 Microsoft本地安全授权(LSA)服务器信息泄露漏洞 No No 5.5

更新

  • 2024-08-14:对motwbypass cve - 2024 - 38213与相关旧漏洞的比较进行了轻微修正/澄清.
  • 2024-08-16:增加IPv6临界RCE cve - 2024 - 38063的讨论.

永远不要错过新出现的威胁

第一时间了解最新的漏洞和网络安全新闻.