最后更新于2024年2月23日(星期五)21:39:39 GMT
微软正在解决73个漏洞 2024年2月补丁星期二,包括两个(实际上是三个)!零日漏洞/野外利用漏洞, 这两个都已经包含在CISA KEV列表中. 今天还提供了两个关键的远程代码执行(RCE)漏洞的补丁, 以及Exchange中特权漏洞的关键提升. 本月分别发布了6个浏览器漏洞,没有包括在总数中.
Windows SmartScreen:漏洞利用的关键安全绕过
cve - 2024 - 21351 介绍了Windows SmartScreen中的一个安全特性绕过漏洞. 微软已经在野外看到了利用的证据. 成功利用需要攻击者说服用户打开恶意文件. 成功的利用绕过了SmartScreen的用户体验,并可能允许代码注入到SmartScreen中以实现远程代码执行. 值得关注的是:过去几年出现的其他关键的SmartScreen绕过漏洞(例如.g. cve - 2023 - 36025 从 2023年11月)没有在SmartScreen本身中包含描述代码注入的语言, 而是专注于安全功能的绕过. 微软自己的研究人员报告了cve - 2024 - 21351和cve - 2023 - 36025.
Internet快捷方式文件:野蛮利用的安全绕过
如果需要进一步的证据来证明,点击来自未知来源的Internet快捷方式文件通常是一个坏主意, cve - 2024 - 21412 提供了它. 攻击者说服用户打开恶意的Internet快捷方式文件,可以绕过典型的警告“来自Internet的文件可能会损害您的计算机”的对话框。. 微软指出,它已经看到了野外的利用, 尽管对用户交互的需求有助于将严重性等级保持在临界以下, CVSS和微软的专有排名系统.
Microsoft Office:关键的RCE
Microsoft Office通常通过在受保护视图中打开带有Web标记的文件来保护用户免受各种攻击, 这意味着Office将在不获取潜在恶意外部资源的情况下呈现文档. cve - 2024 - 21413 Office中是否存在严重的RCE漏洞,允许攻击者在编辑模式下打开文件,就好像用户已经同意信任该文件一样. Outlook预览窗格被列为攻击向量,不需要用户交互. 微软将此漏洞评估为CVSSv3的关键基本得分为9.8,以及在他们自己专有的严重性排名量表下的关键. Administrators responsible for Office 2016 installations who 应用 patches outside of Microsoft Update should 请注意 that the 咨询 lists no fewer than five separate patches which must be installed to achieve remediation of cve - 2024 - 21413; individual update KB articles further 请注意 部分打了补丁的Office安装将被阻止启动,直到安装了正确的补丁组合.
Windows PGM:临界RCE
微软正在打补丁 cve - 2024 - 21357Windows实用通用组播(PGM)的一个缺陷. 当这个漏洞首次在补丁星期二发布时, CVSSv3的基本得分是相对温和的7分.5, 但一天后,微软调整了CVSSv3的基本得分,因此攻击向量从相邻切换到网络, 哪颠簸CVSSv3基本得分高达8.1. FAQ中的可利用性语言从“仅限于同一网络交换机或虚拟网络上的系统”调整为“Windows实用通用组播(PGM)产生运行在第4层且可路由的组播流量”. 因此,此漏洞可以通过网络被利用。”. 这一调整——该公告相当乐观地将其描述为一个信息变化——增加了cve - 2024 - 21357带来的潜在风险.
不出所料,微软 cve - 2024 - 21357 在其专有的严重程度尺度下同样重要. 两种严重性排名系统之间的差异总是值得注意的, 很快就证明了这一点.
微软认为这个漏洞特别严重的进一步线索是:Windows Server 2008有补丁, 哪一个现在完全结束了生命. 在涉及开采方法时,该建议没有详细说明; Windows PGM中其他最近的关键RCE漏洞 是否涉及微软消息队列服务.
交换:关键的特权提升
Exchange管理员可能享受了难得的两个月不打补丁的休息时间, 但本月看到的出版 cve - 2024 - 21410Exchange中一个关键的特权提升漏洞. 微软解释说,攻击者可以使用以前通过另一种方式获得的NTLM凭据,在使用NTLM中继攻击的Exchange服务器上充当受害者. 获取凭证的一个可能途径是:Outlook中的NTLM凭证泄露漏洞,例如 cve - 2023 - 36761Rapid7早在2008年就写过 2023年9月.
更让防御者担心的是:Exchange 2016被列为受影响的对象, 但目前还没有补丁被列入 cve - 2024 - 21410 咨询. Exchange 2019补丁可用于CU13和新铸造的CU14系列. 据微软称, 已经启用了扩展身份验证保护(EPA)的Exchange安装受到保护, 尽管微软强烈建议安装最新的累积更新. 咨询中提供了更多的资源,包括微软的资源 减轻Pass the hash式攻击的通用指南微软也是如此 Exchange服务器运行状况检查器 脚本,其中包括EPA状态的概述. Exchange 2019 CU14更新系列默认启用EPA.
在最初发布的一天后,微软更新了这一建议 cve - 2024 - 21410 表明他们实际上以前就知道剥削.
生命周期更新
本月微软产品没有重大的生命周期末期变化.
总结图表
汇总表
Azure的漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 21401 | Microsoft Entra Jira单点登录插件特权提升漏洞 | No | No | 9.8 |
| cve - 2024 - 21364 | Microsoft Azure站点恢复特权提升漏洞 | No | No | 9.3 |
| cve - 2024 - 21376 | Microsoft Azure Kubernetes服务机密容器远程代码执行漏洞 | No | No | 9 |
| cve - 2024 - 21403 | Microsoft Azure Kubernetes服务机密容器特权提升漏洞 | No | No | 9 |
| cve - 2024 - 21329 | Azure连接机器代理权限提升漏洞 | No | No | 7.3 |
| cve - 2024 - 21381 | 微软Azure活动目录B2C欺骗漏洞 | No | No | 6.8 |
| cve - 2024 - 20679 | Azure堆栈中心欺骗漏洞 | No | No | 6.5 |
| cve - 2024 - 21397 | Microsoft Azure文件同步特权提升漏洞 | No | No | 5.3 |
Azure开发人员工具漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 20667 | Azure DevOps服务器远程代码执行漏洞 | No | No | 7.5 |
浏览器的漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 21399 | Microsoft Edge(基于chromium)远程代码执行漏洞 | No | No | 8.3 |
| cve - 2024 - 1284 | Chromium: cve - 2024 - 1284在Mojo免费后使用 | No | No | N/A |
| cve - 2024 - 1283 | Chromium: cve - 2024 - 1283 Skia中的堆缓冲区溢出 | No | No | N/A |
| cve - 2024 - 1077 | Chromium: cve - 2024 - 1077免费后在网络中使用 | No | No | N/A |
| cve - 2024 - 1060 | 铬:cve - 2024 - 1060在画布中免费使用后 | No | No | N/A |
| cve - 2024 - 1059 | Chromium: cve - 2024 - 1059在WebRTC免费后使用 | No | No | N/A |
开发人员工具漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 21386 | .. NET拒绝服务漏洞 | No | No | 7.5 |
| cve - 2024 - 21404 | .. NET拒绝服务漏洞 | No | No | 7.5 |
ESU Windows漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 21372 | Windows OLE远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21350 | Microsoft WDAC OLE DB提供程序用于SQL Server远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21352 | Microsoft WDAC OLE DB提供程序用于SQL Server远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21358 | Microsoft WDAC OLE DB提供程序用于SQL Server远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21360 | Microsoft WDAC OLE DB提供程序用于SQL Server远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21361 | Microsoft WDAC OLE DB提供程序用于SQL Server远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21366 | Microsoft WDAC OLE DB提供程序用于SQL Server远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21369 | Microsoft WDAC OLE DB提供程序用于SQL Server远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21375 | Microsoft WDAC OLE DB提供程序用于SQL Server远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21420 | Microsoft WDAC OLE DB提供程序用于SQL Server远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21359 | Microsoft WDAC OLE DB提供程序用于SQL Server远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21365 | Microsoft WDAC OLE DB提供程序用于SQL Server远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21367 | Microsoft WDAC OLE DB提供程序用于SQL Server远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21368 | Microsoft WDAC OLE DB提供程序用于SQL Server远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21370 | Microsoft WDAC OLE DB提供程序用于SQL Server远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21391 | Microsoft WDAC OLE DB提供程序用于SQL Server远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21349 | Microsoft ActiveX数据对象远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21363 | 微软消息队列(MSMQ)远程代码执行漏洞 | No | No | 7.8 |
| cve - 2024 - 21354 | Microsoft消息队列(MSMQ)特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 21406 | Windows打印服务欺骗漏洞 | No | No | 7.5 |
| cve - 2024 - 21357 | Windows实用通用组播(PGM)远程代码执行漏洞 | No | No | 7.5 |
| cve - 2024 - 21347 | 微软ODBC驱动程序远程代码执行漏洞 | No | No | 7.5 |
| cve - 2024 - 21348 | Internet连接共享(ICS)拒绝服务漏洞 | No | No | 7.5 |
| cve - 2024 - 21377 | Windows DNS信息泄露漏洞 | No | No | 7.1 |
| cve - 2024 - 21371 | Windows内核特权提升漏洞 | No | No | 7 |
| cve - 2024 - 21355 | Microsoft消息队列(MSMQ)特权提升漏洞 | No | No | 7 |
| cve - 2024 - 21405 | Microsoft消息队列(MSMQ)特权提升漏洞 | No | No | 7 |
| cve - 2024 - 21356 | Windows轻量级目录访问协议(LDAP)拒绝服务漏洞 | No | No | 6.5 |
| cve - 2024 - 21343 | Windows网络地址转换(NAT)拒绝服务漏洞 | No | No | 5.9 |
| cve - 2024 - 21344 | Windows网络地址转换(NAT)拒绝服务漏洞 | No | No | 5.9 |
| cve - 2024 - 21340 | Windows内核信息泄露漏洞 | No | No | 4.6 |
| cve - 2023 - 50387 | MITRE: cve - 2023 - 50387 DNSSEC验证复杂性可能会耗尽CPU资源并导致DNS解析器停滞 | No | No | N/A |
Exchange Server漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 21410 | Microsoft Exchange服务器特权提升漏洞 | No | No | 9.8 |
Microsoft Dynamics漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 21395 | Microsoft Dynamics 365(本地)跨站点脚本漏洞 | No | No | 8.2 |
| cve - 2024 - 21380 | Microsoft Dynamics Business Central/NAV信息泄露漏洞 | No | No | 8 |
| cve - 2024 - 21327 | Microsoft Dynamics 365客户参与跨站点脚本漏洞 | No | No | 7.6 |
| cve - 2024 - 21389 | Microsoft Dynamics 365(本地)跨站点脚本漏洞 | No | No | 7.6 |
| cve - 2024 - 21393 | Microsoft Dynamics 365(本地)跨站点脚本漏洞 | No | No | 7.6 |
| cve - 2024 - 21396 | Dynamics 365销售欺骗漏洞 | No | No | 7.6 |
| cve - 2024 - 21328 | Dynamics 365销售欺骗漏洞 | No | No | 7.6 |
| cve - 2024 - 21394 | Dynamics 365现场服务欺骗漏洞 | No | No | 7.6 |
Microsoft Office漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 21413 | Microsoft Outlook远程代码执行漏洞 | No | No | 9.8 |
| cve - 2024 - 21378 | Microsoft Outlook远程代码执行漏洞 | No | No | 8 |
| cve - 2024 - 21379 | Microsoft Word远程代码执行漏洞 | No | No | 7.8 |
| cve - 2024 - 20673 | Microsoft Office远程代码执行漏洞 | No | No | 7.8 |
| cve - 2024 - 21384 | Microsoft Office OneNote远程代码执行漏洞 | No | No | 7.8 |
| cve - 2024 - 21402 | Microsoft Outlook特权提升漏洞 | No | No | 7.1 |
| cve - 2024 - 20695 | Skype的商业信息披露漏洞 | No | No | 5.7 |
| cve - 2024 - 21374 | 微软团队致力于Android信息披露 | No | No | 5 |
System Center漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 21315 | 微软端点保护防御者的特权提升漏洞 | No | No | 7.8 |
Windows操作系统漏洞
| CVE | Title | 利用? | 公开披露? | CVSSv3基本分数 |
|---|---|---|---|---|
| cve - 2024 - 21345 | Windows内核特权提升漏洞 | No | No | 8.8 |
| cve - 2024 - 21353 | 微软WDAC ODBC驱动程序远程代码执行漏洞 | No | No | 8.8 |
| cve - 2024 - 21412 | Internet快捷方式文件安全特性绕过漏洞 | 是的 | No | 8.1 |
| cve - 2024 - 21338 | Windows内核特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 21346 | Win32k特权提升漏洞 | No | No | 7.8 |
| cve - 2024 - 21351 | Windows SmartScreen安全功能绕过漏洞 | 是的 | No | 7.6 |
| cve - 2024 - 21342 | Windows DNS客户端拒绝服务漏洞 | No | No | 7.5 |
| cve - 2024 - 21341 | Windows内核远程代码执行漏洞 | No | No | 6.8 |
| cve - 2024 - 20684 | Windows Hyper-V拒绝服务漏洞 | No | No | 6.5 |
| cve - 2024 - 21339 | Windows USB通用父驱动程序远程代码执行漏洞 | No | No | 6.4 |
| cve - 2024 - 21362 | Windows内核安全功能绕过漏洞 | No | No | 5.5 |
| cve - 2024 - 21304 | 可信计算基础特权提升漏洞 | No | No | 4.1 |
更新
- 2024-02-14更新了Exchange漏洞cve - 2024 - 21410,此前微软调整了建议,表明他们意识到了野外利用.
- 2024-02-14更新了Windows PGM漏洞cve - 2024 - 21357,此前微软调整了建议,指出该漏洞可以跨不同网络利用, 当他们之前指出攻击将仅限于同一网络交换机或VLAN时.
