Akamai 对 2024 年 7 月 Patch Tuesday 的看法
许多国家/地区会在七月份庆祝其独立日,修复如此多的 CVE 难道不是最好的庆祝方式吗?2024 年 7 月 Patch Tuesday 总共修复了 137 个漏洞,包括 Microsoft Sharepoint Server、 Windows Remote Desktop Licensing Service 和 Windows Codecs Library中的 5 个严重漏洞。
此外,现实环境中还报告了 Windows Hyper-V 中的权限提升 (EoP) 漏洞和 Windows MSHTML 平台 中的欺骗漏洞,而 Windows Themes 中的漏洞已有修补程序,该漏洞由 Akamai 研究人员 Tomer Peled 报告。
正如我们每个月所做的那样,Akamai 安全情报组着手研究了已修补的神秘漏洞。
在本博文中,我们将评估漏洞的严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞为您提供现实的看法。请在每次 Patch Tuesday 后的几日留意这些见解。
这份报告会持续更新,随着研究的进展,我们将在其中增补更多信息。敬请期待!
在本月中,我们将重点关注已修复漏洞的以下方面:
在现实环境中发现的漏洞
CVE-2024-38080 :Windows Hyper-V (CVSS 7.8)
Windows Hyper-V 是 Windows 中的原生虚拟机监控程序。它可以实现在单个主机上托管虚拟机(客户机)。虚拟化在企业网络中很常见,因为它可以节省硬件成本。
据我们观察,在 84% 的环境中有机器启用了 Hyper-V(主机)。
CVE-2024-38080 是一个本地 EoP 漏洞,攻击者在成功利用该漏洞之后,即可获得 SYSTEM 权限。目前,尚不明确此漏洞位于主机还是客户机上,也不清楚其利用方式。Microsoft 表示,在现实环境中已检测到成功利用此漏洞的情况。
检测
要检测 Hyper-V 主机,您可以使用以下 osquery:
SELECT
name, statename
FROM
windows_optional_features
WHERE
name LIKE 'Microsoft-Hyper-V%'
AND state = 1
Akamai Guardicore Segmentation 客户可以使用 Insight 功能来运行此查询。
CVE-2024-38112 :Windows MSHTML 平台 (CVSS 7.5)
MSHTML 是用于 Windows 操作系统的网页渲染程序。它会开放组件对象模型 (COM) 接口,以允许程序添加网页渲染功能。Internet Explorer、Microsoft Edge 的 Internet Explorer 模式、Microsoft Outlook 和其他各种程序都使用 MSHTML。
过去,相关人员在 MSHTML 平台中发现了多个漏洞(其中包括 Akamai 研究人员发现的几个漏洞)。对于攻击者来说,该平台是一个颇具吸引力的利用目标,因为它能够规避防御机制并且它是 Windows 中的一项内置功能。
Akamai 研究人员发现的漏洞
CVE-2024-38030 :Windows Themes (CVSS 6.5)
Windows Themes 是 Windows 中的一项功能,用户可利用此功能更改图标显示方式、更改字体等等。它内置在 Windows 中。
Akamai 研究人员 Tomer Peled 发现了 CVE-2024-38030,该漏洞归类为欺骗漏洞,CVSS 评分为 6.5。成功利用此漏洞可绕过针对 CVE-2024-21320的修补程序,Peled 同样 发现了 这一情况。
针对 CVE-2024-21320 的修补程序引入了 PathIsUNC 功能,用于检查主题文件中的给定路径是否为 UNC 路径。对于 Microsoft 而言,很不幸的是 James Forshaw 已经 介绍了 绕过这一功能的方法。我们相信,这可能是首次将这种绕过方法用于利用 Windows 功能。
Windows Remote Desktop Licensing Service
Windows Remote Desktop Licensing Service 用于 Windows Remote Desktop Services (RDS) 部署中。RDS 是一种虚拟化解决方案,为用户部署和管理虚拟远程桌面。
Licensing Service 用于发布和管理客户端访问许可证,用户在连接到通过 Desktop Services 生成的虚拟桌面时,将需要这些许可证。
本月,在 Windows Remote Desktop Licensing Service 中发现了三个严重的远程代码执行漏洞,以及四个拒绝服务漏洞。
| CVE 编号 | 影响 |
|---|---|
| CVE-2024-38077 | 远程代码执行 |
| CVE-2024-38074 | |
| CVE-2024-38076 | |
| CVE-2024-38071 | 拒绝服务 |
| CVE-2024-38072 | |
| CVE-2024-38073 | |
| CVE-2024-38099 |
抵御措施
Microsoft 建议,不再使用该服务时请将其禁用。随着越来越多的企业转向云端,您的 RDS 部署也可能已经迁移到云端,因而不再需要本地许可服务器。据我们观察,50% 的环境中有服务器在运行 Remote Desktop Licensing Service (TermServLicensing)。
您可以使用以下 osquery 来检测此项服务及其状态:
SELECT
status, pid, start_type
FROM
services
WHERE
name='TermServLicensing'
此外,Licensing Service 可通过远程过程调用 (RPC) 从网络进行访问。因此,该服务使用临时端口和指定管道 (\\pipe\\HydraLsPipe) 进行通信,可能会难于随时间的推移而进行跟踪。您可以使用 Windows 事件跟踪 (ETW) 来监控 RPC 流量,或者使用 RPC 过滤器来限制对 RPC 接口的访问。RPC 接口 UUID 为 {3d267954-eeb7-11d1-b94e-00c04fa3080d}。
Microsoft Windows Codecs Library
Microsoft Windows Codecs Library 是 Windows 中内置的编解码器。编解码器用于对图像、视频、音频和字体等各种媒体格式进行编码和解码。
本月发现了一个严重的远程代码执行漏洞 CVE-2024-38060,根据常见问题解答中的说明,可通过将恶意 TIFF 图像上传到服务器来利用该漏洞。TIFF 编解码器包括在 Windows Imaging Component (WIC) 中,是 Windows 的内置功能。因此,该漏洞会影响到所有 Windows 安装,以及运行在 Windows 上并使用 WIC 解析 TIFF 图像的所有程序。
您可以使用以下 osquery 检测已加载编解码器库 DLL 的进程:
SELECT
name, pid, proc.path
FROM
process_memory_map AS pmm
JOIN processes AS procUSING(pid)
WHERE
pmm.path LIKE '%windowscodecs.dll'
此外还有两个关于信息泄漏的 CVE: CVE-2024-38055 会泄漏部分 Windows 内核内存,而 CVE-2024-38056 会泄漏部分堆内存,可能通过编解码器库的使用进程来实现。
以前涵盖的服务
在本月的 Patch Tuesday 中,许多 CVE 针对的是我们过去已经介绍过的系统。如果您对我们就这些服务的分析或常规建议感兴趣,建议您了解我们之前发布的对 Patch Tuesday 的看法博文。
| 服务 | CVE 编号 | 影响 | 所需访问权限 |
|---|---|---|---|
| Microsoft SharePoint Server | CVE-2024-38023 | 远程代码执行 | 网络,SiteOwner 权限 |
| CVE-2024-38024 | |||
| CVE-2024-32987 | 信息泄漏 | 网络,需要进行身份验证 | |
| Windows 加密服务 | CVE-2024-30098 | 安全功能绕过 | 网络,需要 SHA1 碰撞 |
| Windows iSCSI | CVE-2024-35270 | 拒绝服务 | 本地网络 |
| DHCP 服务器服务 | CVE-2024-38044 | 远程代码执行 | 网络,需要特定的 DHCP 权限,可能是 DHCP 管理员 |
| Microsoft Defender for IoT | CVE-2024-38089 | 权限提升 | 网络 |
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。您还可以关注我们的 微信公众号,了解更多实时动态。