微軟緊急修復五個零日漏洞及衆多其他缺陷

昨天是 2024 年 9 月 10 日,你知道這意味着什麼——這是補丁日,每個月的第二個星期二,微軟會爲 Windows 發佈安全更新。

這一次,共解決了 79 個安全漏洞,其中除一個外,其餘均被歸類爲“嚴重”或“高風險”。

據微軟所說,其中有四個漏洞已在實際環境中被利用,所以一定要確保儘快更新。

大多數漏洞——總計 67 個——分佈於各種 Windows 版本之中,涵蓋 Windows 10、Windows 11 以及 Windows Server。

Windows 7 和 8.1 不再在安全報告中被提及,所以它們或許仍存在漏洞。

除非你有非常充分的理由,否則你應該考慮切換到 Windows 10(22H2)或 Windows 11(23H2)以繼續接收安全更新。(請注意,Windows 10 將在 2025 年停止支持,所以 Windows 11 是更好的選擇。)

補丁日還涵蓋了 Windows 11 24H2 的更新,不過秋季更新仍在內部人員中測試,尚未公開可用。

也就是說,如果您還在運行 Windows 11 22H2,那您應該儘快更新爲 Windows 11 23H2。不然,您可能會遭遇強制更新的風險,這可能會帶來干擾。(Windows 11 22H2 將在 2024 年 10 月 8 日接收其最終的安全更新。)

正如所提到的,一些已修復的 Windows 安全漏洞已在現實世界的攻擊中被使用。(其中一個欺騙問題 CVE-2024-43461 有爭議。)

微軟在安全更新指南中沒有提供關於這些零日漏洞的太多細節,但達斯汀·蔡爾德在零日倡議博客中提到了它們。蔡爾德聲稱,在野外發現了該欺騙問題的利用漏洞的情況,並已報告給微軟,但微軟未將該漏洞列爲正在遭受攻擊。

2024 年 9 月補丁日最重要的安全漏洞

關於漏洞 CVE-2024-38217,微軟表示,安全功能繞過漏洞不僅正在被利用,而且事先已公開爲人所知。這個漏洞影響下載文件的“Web 標記”(MotW),使得保護措施有可能被繞過。

關於漏洞 CVE-2024-43491,它是四個零日漏洞中唯一的遠程代碼執行(RCE)問題。此漏洞僅影響部分較舊版本的 Windows 10,且只有先安裝更新 KB5043936,再安裝更新 KB5043083 才能消除。微軟表示較新的 Windows 10 版本不受影響。

關於漏洞 CVE-2024-38014,這種特權提升(EoP)威脅存在於所有當前受支持的 Windows 版本(包括服務器版本)的 Windows 安裝程序中。利用此漏洞的攻擊者能夠在無需用戶交互的情況下給自己授予系統權限。(確切機制尚不清楚,但通常攻擊者會將 EoP 漏洞與 RCE 漏洞結合起來遠程運行惡意代碼。)

還有好幾個被歸類爲關鍵的安全漏洞,其中有一個影響 Windows 並且目前尚未受到攻擊。

RCE 漏洞 CVE-2024-38119 會影響網絡地址轉換(NAT),並且要求攻擊者處於同一網絡。這是因爲 NAT 通常不具備路由功能,這意味着它無法跨網絡邊界被利用。

此外,Windows 遠程桌面服務存在七個漏洞,包括四個遠程代碼執行(RCE)漏洞。在微軟管理控制檯(CVE-2024-38259)和桌面版 Power Automate(CVE-2024-43479)中各有一個 RCE 漏洞。

在這次補丁裡,微軟消除了其 Office 產品中的 11 個漏洞,包括一個零日漏洞和另外兩個被歸類爲嚴重的漏洞。

安全功能繞過漏洞 CVE-2024-38226 被一個未知人員在 Microsoft Publisher 中發現,而且馬上就被利用了。

所以呢,攻擊者得說服用戶在 Publisher 裡打開一個專門準備的文件。

要是成功了,Office 裡的宏指南就會被繞過,惡意代碼也會被執行。

微軟將 SharePoint Server 中的兩個 RCE 漏洞(CVE-2024-38018、CVE-2024-43464)歸類爲嚴重。然而,SharePoint Server 中的另一個 RCE 漏洞(CVE-2024-38227)和 Visio 中的一個(CVE-2024-43463)僅被視爲高風險。

本月,微軟在 SQL Server 中解決了 13 個安全漏洞,其中 6 個是 CVSS 評分爲 8.8 的遠程代碼執行(RCE)漏洞。微軟還修復了 3 個權限提升漏洞(EoP)和 4 個數據泄露漏洞。

微軟 Edge 瀏覽器的最新安全更新版本是 9 月 3 日的 128.0.2739.63,基於 Chromium 128.0.6613.120。然而,它尚未出現在安全更新指南中。(發行說明也相當簡略,並且延遲一週纔出現。)9 月 5 日對 Edge 的 128.0.2739.67 更新僅修復了幾個錯誤。

然而,谷歌於 9 月 10 日爲 Chrome 發佈了新的安全更新,修復了幾個被歸類爲高風險的漏洞。微軟對此尚未作出迴應。