微软本周二释出二月份Patch Tuesday安全更新,修补了73项漏洞,包括2项已有攻击程式的零时差漏洞。
2项零时差漏洞中,一为CVE-2024-21412,影响网际网路捷径档的安全功能。攻击者可传送假造的恶意档案诱使目标用户点选连结,以下载或开启档案,绕过一般Windows会跳出提醒用户当心的对话视窗。但微软指出,攻击者无法强迫用户读取这个档案内容,因此本漏洞风险值为8.1。
本漏洞由趋势科技的Zero Day Initiative的Peter Girnus通报,他发现国家骇客组织DarkCasino(Water Hydra)利用本漏洞攻击金融交易平台,在用户装置内植入RAT木马程式DarkMe。
第二项零时差漏洞为CVE-2024-21351,影响Windows SmartScreen的安全功能。本功能可在用户试图从网路下载Word、Excel或PowerPoint等档案时,在档案加上Mark of the Web标示符。当用户开启档案时,Windows SmartScreen会检查MotW标示符是否显示档案来自网际网路,若是则会执行名誉检查。滥用这项功能漏洞将可让档案跳过检查开启,导致远端程式码执行。本漏洞风险值为7.6。本漏洞滥用者身分不详。
本月修补的漏洞中,5项为重大风险。其中CVE-2024-21413影响Outlook,该漏洞以预览视窗为攻击路径,可让攻击者传送的档案绕过「保护的检视」而在编辑模式开启。因漏洞滥用不需用户互动,风险值达9.8。
CVE-2024-21410为影响Exchange Server的权限扩张漏洞,风险值9.8。攻击者可利用之前得手的NTLM凭证,透过NTLM relay攻击存取受害者Exchange Server骇入企业网路环境。
此外,资安业者Rapid 7提到CVE-2024-21357为影响Windows Pragmatic General Multicast(PGM)的远端程式码执行漏洞。虽然微软认为攻击仅限和攻击者同一网段,且无法执行跨多网段(WAN)攻击而将风险值列为7.5,但在自有风险评级中,却列为重大。另一值得注意的是,微软甚至针对已过了支援生命周期终点的Windows Server 2008释出更新以修补本漏洞。