吳明宜微軟本周二發送 11 月 Patch Tueday 安全更新,修補了 89 項漏洞,其中有 2 項已發生攻擊。
在本次修補的漏洞中,以遠端程式碼執行 (RCE) 的 51 個為大宗,其次是權限升級 (EoP),有 26 個,此外包含個位數的阻斷服務 (DoS) 、冒名 (spoofing) 、安全功能繞及資訊洩露。
已被用以攻擊的 2 個漏洞中,第一是 CVE-2024-49039,是一個影響 Windows Task Scheduluer,風險值 8.8 的權限升級漏洞。具本機權限的用戶可執行改造過的程式以擴大權限,在這裏是 AppContainer,以存取原本無法存取的資源,或執行無權限的程式,例如 RPC 函式。
第二是 CVE-2024-43451 ,為 Windows NTLM 中的冒名漏洞,原本風險值只有 6.5 的中度風險,不過一旦被濫用,攻擊者即可用於取得受害者 NTLMv2 雜湊,以冒充其身份。受害者只要選擇惡意檔案,不論是單擊或按右鍵,都不需真正執行,就能引發濫用。
剩下的三個重大風險漏洞中,第一為 CVE-2024-43602,為風險值 9.9 的 RCE 漏洞,影響 Azure CycleCloud,攻擊者可傳送呼叫修改 CycleCloud 叢集的配置來濫用漏洞,並以根權限執行程式。
其次為 CVE-2024-43498,發生在.NET 及 Visual Studio 的風險值 9.8 的漏洞。攻擊者可對.NET 網頁版應用程式傳送呼叫,或是在桌機應用程式載入惡意檔案來濫用,造成 RCE 。
CVE-2024-43639 為影響驗證協定 Windows Kerberos 的 RCE 漏洞,風險值 9.8 。微軟未提供細節,只說要濫用本漏洞,攻擊者必須運用密碼學協定漏洞才能造成 RCE 。
個人用戶應儘速更新其 PC 。企業管理員則應安排更新列管 Windows 裝置。
來源:The Regiser 、 Tenable