【漏洞信息】
微软官方发布了11月安全更新公告,包含了Microsoft Word、Azure CycleCloud、Windows Kernel、Windows Task Scheduler、Win32k、Microsoft Exchange Server、 Windows Kerberos等微软家族多个产品的安全更新补丁。请相关用户及时更新对应补丁修复漏洞。
1、本月存在2个在野0day漏洞,经研判,需要重点关注的在野0day漏洞如下:
· NTLM Hash泄露欺骗漏洞(CVE-2024-43451)
· Windows Task Scheduler特权提升漏洞(CVE-2024-49039)
2、本月漏洞通告中,已公开披露漏洞信息的漏洞如下:
· Active Directory Certificate Services特权提升漏洞(CVE-2024-49019)
3、本月披露漏洞中,被利用可能性较高的漏洞如下:
· Windows NT OS Kernel特权提升漏洞(CVE-2024-43623)
· Windows DWM Core Library特权提升漏洞(CVE-2024-43629)
· HTTP Protocol Stack远程代码执行漏洞(CVE-2024-43630)
· Win32k特权提升漏洞(CVE-2024-43636)
· Windows SMB拒绝服务漏洞(CVE-2024-43642)
· Microsoft Word安全功能绕过漏洞(CVE-2024-49033)
· Microsoft Exchange Server欺骗漏洞(CVE-2024-49040)
4、本月披露的严重漏洞如下:
· Azure CycleCloud远程代码执行漏洞(CVE-2024-43602)
· .NET and Visual Studio远程代码执行漏洞(CVE-2024-43498)
· Windows Kerberos远程代码执行漏洞(CVE-2024-43639)
【漏洞描述】
1、NTLM Hash泄露欺骗漏洞(CVE-2024-43451) |
漏洞类型 | 身份验证绕过 | CVSS3.1评分 | 6.5 |
CVE编号 | CVE-2024-43451 | 安恒CERT编号 | DM-202408-001761 |
CVSS向量 |
访问途径(AV) | 网络 | 攻击复杂度(AC) | 低 |
所需权限(PR) | 无需任何权限 | 用户交互(UI) | 需要用户交互 |
影响范围(S) | 不变 | 机密性影响(C) | 高 |
完整性影响(I) | 无 | 可用性影响(A) | 无 |
参考链接 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-43451 |
2、Windows Task Scheduler特权提升漏洞(CVE-2024-49039) |
漏洞类型 | 权限提升 | CVSS3.1评分 | 8.8 |
CVE编号 | CVE-2024-490394 | 安恒CERT编号 | DM-202410-002256 |
CVSS向量 |
访问途径(AV) | 本地 | 攻击复杂度(AC) | 低 |
所需权限(PR) | 低 | 用户交互(UI) | 不需要用户交互 |
影响范围(S) | 改变 | 机密性影响(C) | 高 |
完整性影响(I) | 高 | 可用性影响(A) | 高 |
参考链接 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49039 |
3、Active Directory Certificate Services特权提升漏洞(CVE-2024-49019) |
漏洞类型 | 权限提升 | CVSS3.1评分 | 7.8 |
CVE编号 | CVE-2024-49019 | 安恒CERT编号 | DM-202410-002236 |
CVSS向量 |
访问途径(AV) | 本地 | 攻击复杂度(AC) | 低 |
所需权限(PR) | 低 | 用户交互(UI) | 不需要用户交互 |
影响范围(S) | 不变 | 机密性影响(C) | 高 |
完整性影响(I) | 高 | 可用性影响(A) | 高 |
参考链接 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49019 |
4、Windows NT OS Kernel特权提升漏洞(CVE-2024-43623) |
漏洞类型 | 权限提升 | CVSS3.1评分 | 7.8 |
CVE编号 | CVE-2024-43623 | 安恒CERT编号 | DM-202408-001639 |
CVSS向量 |
访问途径(AV) | 本地 | 攻击复杂度(AC) | 低 |
所需权限(PR) | 低 | 用户交互(UI) | 不需要用户交互 |
影响范围(S) | 不变 | 机密性影响(C) | 高 |
完整性影响(I) | 高 | 可用性影响(A) | 高 |
参考链接 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-43623 |
5、Windows DWM Core Library特权提升漏洞(CVE-2024-43629) |
漏洞类型 | 权限提升 | CVSS3.1评分 | 7.8 |
CVE编号 | CVE-2024-43629 | 安恒CERT编号 | DM-202408-001784 |
CVSS向量 |
访问途径(AV) | 本地 | 攻击复杂度(AC) | 低 |
所需权限(PR) | 低 | 用户交互(UI) | 不需要用户交互 |
影响范围(S) | 不变 | 机密性影响(C) | 高 |
完整性影响(I) | 高 | 可用性影响(A) | 高 |
参考链接 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-43629 |
6、HTTP Protocol Stack远程代码执行漏洞(CVE-2024-43630) |
漏洞类型 | 远程代码执行 | CVSS3.1评分 | 7.8 |
CVE编号 | CVE-2024-43630 | 安恒CERT编号 | DM-202408-001796 |
CVSS向量 |
访问途径(AV) | 本地 | 攻击复杂度(AC) | 低 |
所需权限(PR) | 低 | 用户交互(UI) | 不需要用户交互 |
影响范围(S) | 不变 | 机密性影响(C) | 高 |
完整性影响(I) | 高 | 可用性影响(A) | 高 |
参考链接 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-43630 |
7、Win32k特权提升漏洞(CVE-2024-43636) |
漏洞类型 | 权限提升 | CVSS3.1评分 | 7.8 |
CVE编号 | CVE-2024-43636 | 安恒CERT编号 | DM-202408-001668 |
CVSS向量 |
访问途径(AV) | 本地 | 攻击复杂度(AC) | 低 |
所需权限(PR) | 低 | 用户交互(UI) | 不需要用户交互 |
影响范围(S) | 不变 | 机密性影响(C) | 高 |
完整性影响(I) | 高 | 可用性影响(A) | 高 |
参考链接 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-43636 |
8、Windows SMB拒绝服务漏洞(CVE-2024-43642) |
漏洞类型 | 拒绝服务 | CVSS3.1评分 | 7.5 |
CVE编号 | CVE-2024-43642 | 安恒CERT编号 | DM-202408-001670 |
CVSS向量 |
访问途径(AV) | 网络 | 攻击复杂度(AC) | 低 |
所需权限(PR) | 无需任何权限 | 用户交互(UI) | 不需要用户交互 |
影响范围(S) | 不变 | 机密性影响(C) | 无 |
完整性影响(I) | 无 | 可用性影响(A) | 高 |
参考链接 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-43642 |
9、Microsoft Word安全功能绕过漏洞(CVE-2024-49033) |
漏洞类型 | 安全功能绕过 | CVSS3.1评分 | 7.5 |
CVE编号 | CVE-2024-49033 | 安恒CERT编号 | DM-202410-00250 |
CVSS向量 |
访问途径(AV) | 网络 | 攻击复杂度(AC) | 低 |
所需权限(PR) | 无需任何权限 | 用户交互(UI) | 不需要用户交互 |
影响范围(S) | 不变 | 机密性影响(C) | 无 |
完整性影响(I) | 无 | 可用性影响(A) | 高 |
参考链接 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49033 |
10、Microsoft Exchange Server欺骗漏洞(CVE-2024-49040) |
漏洞类型 | 身份验证绕过 | CVSS3.1评分 | 7.5 |
CVE编号 | CVE-2024-49040 | 安恒CERT编号 | DM-202410-002257 |
CVSS向量 |
访问途径(AV) | 网络 | 攻击复杂度(AC) | 低 |
所需权限(PR) | 无需任何权限 | 用户交互(UI) | 不需要用户交互 |
影响范围(S) | 不变 | 机密性影响(C) | 无 |
完整性影响(I) | 高 | 可用性影响(A) | 无 |
参考链接 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49040 |
11、Azure CycleCloud远程代码执行漏洞(CVE-2024-43602) |
危害等级 | 严重 | CVSS3.1评分 | 9 |
CVE编号 | CVE-2024-43602 | 安恒CERT编号 | DM-202408-001781 |
漏洞描述 |
Azure CycleCloud是一套企业级友好的工具,用于协调和管理Azure上的高性能计算(HPC)环境,帮助用户在Azure云中创建、管理和优化HPC集群,适用于需要处理大量计算任务的场景,如科学计算、工程仿真、数据分析和机器学习训练。Azure CycleCloud存在一个远程代码执行漏洞,具有基本用户权限的攻击者可以发送特制请求来修改Azure CycleCloud集群的配置,以获得root权限,从而能够在当前实例中的任何Azure CycleCloud集群上执行命令,或者在某些情况下泄露管理员凭据。 |
CVSS向量 |
访问途径(AV) | 网络 | 攻击复杂度(AC) | 低 |
所需权限(PR) | 低 | 用户交互(UI) | 不需要用户交互 |
影响范围(S) | 改变 | 机密性影响(C) | 高 |
完整性影响(I) | 高 | 可用性影响(A) | 高 |
参考链接 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-43602 |
12、.NET and Visual Studio远程代码执行漏洞(CVE-2024-43498) |
危害等级 | 严重 | CVSS3.1评分 | 9.8 |
CVE编号 | CVE-2024-43498 | 安恒CERT编号 | DM-202408-001742 |
漏洞描述 |
.NET and Visual Studio存在远程代码执行漏洞,远程未经身份验证的攻击者可向易受攻击的.NET webapp发送特制请求,或诱导受漏洞影响的桌面应用程序加载特制文件,进而利用此漏洞实现远程代码执行。 |
CVSS向量 |
访问途径(AV) | 网络 | 攻击复杂度(AC) | 低 |
所需权限(PR) | 无需任何权限 | 用户交互(UI) | 不需要用户交互 |
影响范围(S) | 不变 | 机密性影响(C) | 高 |
完整性影响(I) | 高 | 可用性影响(A) | 高 |
参考链接 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-43498 |
13、Windows Kerberos远程代码执行漏洞(CVE-2024-43639) |
危害等级 | 严重 | CVSS3.1评分 | 9.8 |
CVE编号 | CVE-2024-43468 | 安恒CERT编号 | DM-202408-001735 |
漏洞描述 |
Kerberos是Windows操作系统中实现的主要身份验证协议之一,用于保护网络服务之间的通信,使用户可以使用一次登录来访问多个服务,这一过程称为单点登录(SSO)。本次漏洞存在Kerberos 服务的加密协议中,未经身份验证的攻击者可以使用特制的应用程序来利用Windows Kerberos中的加密协议漏洞,从而对目标实现远程代码执行。 |
CVSS向量 |
访问途径(AV) | 网络 | 攻击复杂度(AC) | 低 |
所需权限(PR) | 无需任何权限 | 用户交互(UI) | 不需要用户交互 |
影响范围(S) | 不变 | 机密性影响(C) | 高 |
完整性影响(I) | 高 | 可用性影响(A) | 高 |
参考链接 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-43639 |
【修复方案】
官方修复方案:
目前微软针对支持的产品已发布升级补丁修复了上述漏洞,请用户参考官方通告及时下载更新补丁。补丁获取:https://msrc.microsoft.com/update-guide/vulnerability
Windows 更新:
自动更新:Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
手动更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”。
2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)。
3、选择“检查更新”,等待系统将自动检查并下载可用更新。
4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。
【参考资料】
thttps://msrc.microsoft.com/update-guide/releaseNote/2024-Nov