微软本周二(3/12)公布的3月Patch Tuesday修补了60个安全漏洞,微软本月并未修补零时差漏洞,也仅修补了两个重大(Critical)等级的漏洞,它们皆涉及Windows Hyper-V,漏洞编号为CVE-2024-21408与CVE-2024-21407。
Windows Hyper-V主要提供硬体虚拟化功能,允许使用者建立虚拟硬碟、虚拟交换器与其它虚拟设备,可于Windows上将多个作业系统以虚拟机器执行。
其中的CVE-2024-21408为一服务阻断漏洞,代表骇客可借由该漏洞透过虚拟机器来攻击主机,尽管被列为重大等级漏洞,但它的CVSS风险评分只有5.5,而且微软认为它不太可能被开采。不过,微软并未公布该漏洞的细节或是可能的攻击流程。
至于CVE-2024-21407则为一远端执行漏洞,CVSS风险评分为8.1,允许于客座虚拟机器上经过身分验证的骇客,向虚拟机器上的硬体资源传送特定档案的操作请求,进而在主机伺服器上执行远端程式。成功的攻击还需要先收集特定环境的资讯,也必须采取其它行动来准备目标环境。
另一个被外界关注的漏洞则是CVE-2024-21400,这是个位于Azure Kubernetes Service(AKS)机密容器的权限扩张漏洞,该漏洞允许骇客存取不受信任的AKS节点与AKS机密容器,以接管机密客座与容器,且发动相关攻击并不需要通过身分验证。该漏洞的CVSS风险评分高达9,但仅被微软列为重要(Important)等级。
本月CVSS风险评分最高、达到9.8的,则是位于Azure开放管理基础设施(Open Management Infrastructure,OMI)的CVE-2024-21334,OMI是个通用资讯模型的开源专案,该漏洞允许未经身分验证的骇客自远端存取OMI实例并传送特定请求,以触发一个释放后使用漏洞,进而自远端执行程式。
微软建议执行受影响SCOM版本的用户,应升级至OMI 1.8.1-0,无法更新或升级的用户,且其Linux机器不需连至外部资源,则可选择关闭OMI的传入连接埠。