上述零时差漏洞里,同时被用于攻击且细节已经公布的是CVE-2024-43451,特别的是,微软不仅指出所有视窗作业系统都受到影响,他们也提及这次将透过IE累积安全更新,针对Windows Server 2008及2012(含R2)修补这项漏洞。为何会提及早已停用的IE?原因是底层的MSHTML及指令码平台仍受到支援,他们将针对这两种平台进行修补。
针对这项弱点的型态,他们表示是档案名称或路径的外部控制,CVSS风险评为6.5分,并指出根据评估,这项漏洞将有可能导致机密性完全丧失(C:H),但攻击者利用的过程需要使用者互动(UI:R)。对于上述的评估内容,微软进一步做出说明,表示一旦攻击者成功利用漏洞,就有机会泄露NTLMv2杂凑值,并以受害者的名义进行身分验证;而对于使用者互动的部分,他们则是提到使用者只要与攻击者提供的恶意档案进行极少的互动,像是执行点选或是进行检查,无须开启或是执行档案就能触发漏洞。
不过,对于此弱点的其他细节,微软并未进一步说明。对此,,这并非单纯的权限提升漏洞,而是一种容器逃逸漏洞,而这种类型的弱点被用于实际攻击的情况,并不常见。值得留意的是,他们得知有多名研究人员通报这项漏洞,代表已在多个地区出现相关的漏洞利用攻击,因此这项弱点相当值得留意。
至于已被公开的漏洞CVE-2024-49019、CVE-2024-49040,前者由资安业者TrustedSec上个月揭露,并值得一提的是,Rapid7与ZDI不约而同提及,重大层级漏洞CVE-2024-43498、CVE-2024-43639,也需要特别留意。前者存在于.NET 9.0,为远端程式码执行漏洞,CVSS风险为9.8;另一个也是RCE漏洞,存在于Kerberos身分验证机制,危险程度也同样达到9.8分。Rapid7指出,利用CVE-2024-43498既不需要特殊权限也无须使用者互动;ZDI则认为很快就有攻击者将这些漏洞用于实际攻击行动。