微软通过相对较轻的 2024 月份安全更新让企业安全团队轻松进入 48 年,该更新包含 XNUMX 个独特 CVE 的补丁,其中只有两个被该公司认定为严重严重。
微软的补丁星期二连续第二个月没有包含任何零日漏洞,这意味着管理员不必应对攻击者目前正在积极利用的任何新漏洞——这种情况在 2023 年经常发生。
只有两个严重错误
通常情况下,CVE 微软9月XNUMX日披露 影响了其广泛的产品,包括权限升级漏洞、远程代码执行漏洞、安全绕过漏洞和其他漏洞。该公司将其中 46 个缺陷归类为“重要”严重性,其中包括攻击者更有可能利用的几个缺陷。
微软最新更新中的两个严重严重错误之一是 CVE-2024-20674,一个 Windows Kerberos 安全功能绕过漏洞,允许攻击者绕过身份验证机制并发起模拟攻击。 Qualys 漏洞研究经理 Saeed Abbasi 在 Dark Reading 的评论中表示:“攻击者可以通过中间机 (MitM) 攻击来利用此缺陷。” “他们通过设置本地网络欺骗场景,然后发送恶意 Kerberos 消息来欺骗客户端计算机,使其相信它们正在与合法的 Kerberos 身份验证服务器进行通信,从而实现这一目标。”
该漏洞要求攻击者能够访问与目标相同的本地网络。它无法通过互联网进行远程利用,并且需要接近内部网络。即便如此,阿巴西表示,在不久的将来,很可能会出现积极的利用尝试。
Immersive Labs 威胁研究高级总监 Ken Breen 指出 CVE-2024-20674 作为一个错误,组织最好尽快修补。根据 Breen 的一份声明,“此类攻击媒介对于勒索软件运营商和访问代理等威胁行为者来说始终很有价值”,因为它们可以对企业网络进行大量访问。
微软最新一批安全更新中的另一个严重漏洞是CVE-2024-20700,这是Windows超虚拟化技术中的远程代码执行漏洞。 Immersive Labs 首席网络安全工程师 Ben McCarthy 在一份声明中表示,该漏洞并不是特别容易被利用,因为要做到这一点,攻击者首先需要进入网络内部并与易受攻击的计算机相邻。
该漏洞还涉及竞争条件,这种问题比许多其他漏洞类型更难被攻击者利用。 McCarthy 表示:“该漏洞已被发布,因为利用该漏洞的可能性较小,但由于 Hyper-V 在计算机中以最高权限运行,因此值得考虑修补。”
高优先级远程代码执行错误
安全研究人员指出 1 月份更新中的另外两个 RCE 错误值得优先关注: CVE-2024-21307 在 Windows 远程桌面客户端和 CVE-2024-21318 在 SharePoint 服务器中。
Breen 表示,微软将 CVE-2024-21307 确定为攻击者更有可能利用的漏洞,但几乎没有提供原因信息。该公司指出,未经授权的攻击者需要等待用户发起连接才能利用该漏洞。
“这意味着攻击者必须创建恶意 RDP 服务器并使用社会工程技术来诱骗用户进行连接,”Breen 说。 “这并不像听起来那么困难,因为攻击者相对容易设置恶意 RDP 服务器,然后在电子邮件中发送 .rdp 附件意味着用户只需打开附件即可触发漏洞。”
一些更可利用的权限升级错误
微软一月份的更新包括针对多个权限升级漏洞的补丁。其中最严重的是 CVE-2023-21310,Windows 云文件迷你筛选器驱动程序中的权限升级错误。该缺陷非常类似于 CVE-2023-36036,同一技术中的一个零日特权升级漏洞,微软在其报告中披露了该漏洞 2023 年 XNUMX 月安全更新.
攻击者积极利用该缺陷来尝试获取本地计算机上的系统级权限——他们也可以利用新披露的漏洞来做到这一点。布林说:“威胁行为者在网络攻击中经常看到这种类型的特权升级步骤。” “它可以使攻击者禁用安全工具或运行 Mimikatz 等凭证转储工具,从而实现横向移动或域帐户的泄露。”
包括其他一些重要的权限升级错误 CVE-2024-20653 在 Windows 通用日志文件系统中, CVE-2024-20698 在Windows内核中, CVE-2024-20683 在Win32k中, 和 CVE-2024-20686 在 Win32k 中。根据 Tenable 高级研究工程师 Satnam Narang 的声明,微软已将所有这些缺陷列为攻击者更有可能利用的问题。 “这些错误通常被用作妥协后活动的一部分,”他说。 “也就是说,一旦攻击者在系统上获得了初步立足点。”
微软认为重要但需要快速关注的缺陷包括 CVE-2024-0056, Abbasi 说,这是 SQL 中的安全绕过功能。他指出,该缺陷使攻击者能够执行中间机攻击,拦截并可能改变客户端和服务器之间的 TLS 流量。 “如果被利用,攻击者可以解密、读取或修改安全 TLS 流量,从而破坏数据的机密性和完整性。” Abbasi 表示,攻击者还可以利用该缺陷通过 SQL 数据提供程序来利用 SQL Server。
- :具有
- :是
- :不是
- $UP
- 2023
- 2024
- 46
- a
- Able
- 关于
- ACCESS
- 根据
- 账户
- 要积极。
- 积极地
- 活动
- 演员
- 邻
- 管理员
- 影响
- 所有类型
- 允许
- 已经
- 还
- 时刻
- 其中
- an
- 和
- 任何
- 保健
- AS
- At
- 攻击
- 攻击
- 尝试
- 关注我们
- 认证
- BE
- 因为
- 很
- 作为
- 相信
- 本
- 之间
- 经纪人
- 问题
- 虫子
- 但是
- by
- 绕行
- CAN
- 案件
- 机密
- 客户
- 云端技术
- 码
- 注释
- 相当常见
- 常用
- 沟通
- 公司
- 妥协
- 一台
- 流程条件
- 保密
- 连接
- 地都
- 组成
- 可以
- 创建信息图
- 凭据
- 危急
- 网络安全
- 黑暗
- 暗读
- data
- 解码
- 通过电脑捐款
- DID
- 难
- 副总经理
- do
- 域
- 司机
- 易
- 电子邮件
- enable
- 使
- 工程师
- 工程师
- 企业
- 企业安全
- 升级
- 特别
- 醚(ETH)
- 甚至
- 执行
- 利用
- 开发
- 剥削
- 专栏
- 少数
- 文件
- 档
- 过滤
- 姓氏:
- 缺陷
- 缺陷
- 针对
- 频繁
- 止
- 未来
- Gain增益
- 获得
- 发生
- 更难
- 有
- he
- 高
- 最高
- HTTPS
- 确定
- if
- 身临其境
- 重要
- in
- 包括
- 包括
- 包含
- 信息
- 初始
- 开始
- 内
- 诚信
- 内部
- 网络
- 成
- 涉及
- 问题
- 问题
- IT
- 它的
- 一月三十一日
- 一月
- JPG
- 只是
- 实验室
- 最新
- 发射
- 铅
- 合法
- 减
- Level
- 杠杆作用
- 光
- 喜欢
- 可能性
- 容易
- 小
- 本地
- 日志
- 机
- 机
- 恶意
- 经理
- 许多
- 意
- 手段
- 机制
- 优秀奖学金
- 条未读消息
- 微软
- MITM
- 修改
- 时刻
- 月
- 更多
- 最先进的
- 运动
- 近
- 需求
- 网络
- 网络
- 全新
- 新
- NIST
- 注意到
- 现在
- of
- on
- 一旦
- 仅由
- 打开
- 运营商
- or
- 秩序
- 组织
- 其他名称
- 超过
- 部分
- 打补丁
- 补丁星期二
- 补丁
- 修补
- 演出
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 可能
- 优先
- 特权
- 权限
- 热销产品
- 提供
- 提供者
- 快速
- 很快
- 种族
- 范围
- 排名
- 勒索
- 额定
- 阅读
- 阅读
- 相对
- 发布
- 远程
- 远程
- 需要
- 研究
- 研究人员
- 运行
- 运行
- s
- 说
- 同
- 说
- 脚本
- 其次
- 安全
- 保安
- 安全工具
- 安全更新
- 安全更新
- 看到
- 发送
- 前辈
- 服务器
- 服务器
- 集
- 设置
- 几个
- 严重
- 严重
- 的SharePoint
- 显著
- 类似
- So
- 社会
- 社会工程学
- 东西
- SQL
- 团队
- 个人陈述
- 步
- 直
- 系统
- 产品
- T
- 目标
- 队
- 技术
- 专业技术
- 比
- 这
- 他们
- 然后
- 那里。
- 博曼
- 他们
- 思维
- Free Introduction
- 威胁
- 威胁者
- TLS
- 至
- 工具
- 交通
- 触发
- 尝试
- 周二
- 二
- 类型
- 类型
- 一般
- 擅自
- 独特
- 更新
- 最新动态
- 使用
- 用过的
- 用户
- 有价值
- 非常
- 通过
- 漏洞
- 漏洞
- 脆弱
- 等待
- 井
- 为
- 这
- 为什么
- 宽
- 大范围
- 窗户
- 韩元
- 价值
- 将
- 和风网
