微软在2024年的第一个Patch Tuesday修补了49个安全漏洞,本月并未修补任何零时差漏洞,也仅有两个漏洞被列为重大(Critical)等级,分别是涉及Windows Hyper-V的远端程式攻击漏洞CVE-2024-20700,以及与Windows Kerberos有关的安全功能绕过漏洞CVE-2024-20674。
其中,CVE-2024-20674 的CVSS风险评分为9,是今年1月风险最高的安全漏洞。Kerberos为一电脑网路授权协定,允许个人通讯于非安全的网路中,以安全的方式进行身分认证。不管是微软的Windows、苹果的macOS,或是FreeBSD、Red Hat Enterprise Linux及Oracle Solaris都支援Kerberos。
根据微软的说明,该漏洞允许骇客借由建立中间人攻击或其它本地端网路欺骗技术,传送恶意的Kerberos讯息至客户端受害机器上,并假装自己是Kerberos认证伺服器,前提是骇客必须先能存取目标网路。专注于漏洞风险管理的Rapid7软体工程师Adam Barnett解释,当骇客成功骗过目标对象时,就能绕过身分认证并假冒该名用户。
至于要攻陷CVE-2024-20700漏洞的骇客也必须先能存取受限制的网路,并赢得竞争条件。虽然微软对于该漏洞的描述并不多,但基于它的CVSS风险评分只有7.5,却被列为重大等级,使得资安研究人员认为这理应是个攻击程序很复杂,但却影响重大的漏洞。
在其它的安全漏洞中,趋势科技Zero Day Initiative (ZDI)团队特别点名了仅被列为重要(Important)等级,CVSS风险评分却高达8.7的CVE-2024-0056漏洞。这是个与Microsoft.Data.SqlClient 及System.Data.SqlClient有关的安全功能绕过漏洞,允许骇客悄悄绕过客户端与伺服器端的加密机制,可解密、读取与窜改TLS流量。