微软于本周二(7/9)的Patch Tuesday总计修补了143个安全漏洞,包括4个零时差漏洞,其中的CVE-2024-37985与CVE-2024-35264漏洞已被公开,而CVE-2024-38080与CVE-2024-38112则是已遭骇客利用;另有5个被列为重大(Critical)等级的安全漏洞。
7月所修补的、隶属于微软产品的安全漏洞其实只有139个,其它4个则是来自第三方的安全漏洞,包含两个位于GitHub活动目录权限管理服务(Active Directory Rights Management Services,AD RMS)的权限扩张漏洞,一个位于RADIUS协定的诈骗漏洞CVE-2024-3596,最后一个则是此次零时差漏洞之一的CVE-2024-37985,影响采用Arm处理器的Windows作业系统,成功的攻击将允许骇客察看伺服器上以特权程序执行的堆积记忆体。
另一个已被公开的漏洞为CVE-2024-35264,为.NET与Visual Studio的远端执行漏洞,惟攻击门槛较高。
在两个已遭到利用的漏洞中,CVE-2024-38080是Windows Hyper-V的权限扩张漏洞,可让骇客取得系统(SYSTEM)权限。CVE-2024-38112则是位于Windows MSHTML Platform的欺骗漏洞,尽管骇客必须额外准备攻击环境,也必须诱导使用者执行恶意档案,属于相对复杂的漏洞,但该漏洞依然已遭到利用。
至于5个重大漏洞中有3个都与Windows Remote Desktop Licensing Service(RD Licensing)有关,同时它们的CVSS风险评分等级也都高达9.8。此一服务负责管理及发放远端桌面服务的许可证,其中,CVE-2024-38074与CVE-2024-38076的攻击手法一致,骇客可借由传送一个特制封包至RD Licensing伺服器上便能触发该漏洞,以自远端执行程式。而CVE-2024-38077则允许未经授权的骇客存取该服务,再传送恶意讯息便能自远端执行程式。
缓解上述RD Licensing漏洞的方法之一,为关闭非必要的RD Licensing服务。
另一个允许远端程式执行的重大漏洞CVE-2024-38060位于Microsoft Windows Codecs Library,允许具备任何身分等级的骇客上传恶意TIFF档案来触发该漏洞。
CVE-2024-38023则是Microsoft SharePoint Server的远端执行漏洞,允许具备Site Owner权限的骇客,于SharePoint Server上注入任意程式码并执行它。
趋势科技资安团队Zero Day Initiative(ZDI)提醒,CVE-2024-38080或许允许于guest OS上具备授权的使用者取得SYSTEM权限,进而利用此一Windows Hyper-V的权限扩张漏洞来执行勒索软体攻击,尽管微软并未公布其遭到利用的规模,但建议执行Hyper-V的用户尽快测试并部署安全更新。