X

需要云计算吗? 即刻开始体验

Akamai logo
+1-8774252624
+1-8774252624
登录
Control Center
访问 Akamai 平台
Cloud Manager
管理您的云资源
试用 Akamai 产品
遭受攻击?
登录
Control Center
访问 Akamai 平台
Cloud Manager
管理您的云资源

Akamai 对 2024 年 4 月 Patch Tuesday 的看法

Microsoft 全年无休。2024 年 4 月 Patch Tuesday 共有 147 个 CVE,其中有 3 个是 Microsoft Defender for IoT 中的严重漏洞。
Microsoft 全年无休。2024 年 4 月 Patch Tuesday 共有 147 个 CVE,其中有 3 个是 Microsoft Defender for IoT 中的严重漏洞。

开斋节快乐!复活节快乐!逾越节快乐!4 月是传统假期之月,如果 CVE 是礼物,那可以说 Microsoft 充满了节日气氛。2024 年 4 月 Patch Tuesday 共有 147 个 CVE,而其中有 3 个是 Microsoft Defender for IoT中的严重漏洞。此外,还有一个 系统 CVE:这是用于签署恶意攻击负载的 Microsoft 证书。

在本博文中,我们将评估漏洞的严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞为您提供现实的看法。请在每次 Patch Tuesday 后的几日留意这些见解。

这是一份持续更新的报告,随着我们的研究进展,我们将在其中增补更多信息。敬请期待!

在本月中,我们将重点关注已修复漏洞的以下方面

有疑问吗?请与我们联系!

代理驱动程序

Sophos X-Ops 检测到 一项使用 Microsoft Windows Hardware Compatibility Publisher 签名进行签署的恶意攻击负载,它试图伪装成合法负载。他们向 Microsoft 报告了自己的发现,而 CVE-2024-26234 则撤销了所涉及的证书,使其不再被视为可信。

通过使用 Insight,可以找到使用受影响签名进行签署的负载。受影响的客户可以运行以下查询,查看是否有任何正在运行的进程使用了已撤销的证书进行签署:

  SELECT issuer_name, path
  FROM authenticode
  WHERE 
    path IN (SELECT DISTINCT path FROM processes)
  AND
    serial_number = '3300000057ee4d659a923e7c10000000000057'
  AND
    subject_name = 'Microsoft Windows Hardware Compatibility Publisher'

Microsoft Defender for IoT

Microsoft Defender for IoT 是一个安全平台,可帮助保护工业网络组件,例如物联网 (IoT) 设备、工业控制系统和操作技术。本月修复了 3 个严重的远程代码执行 (RCE) 漏洞和 3 个重要的权限提升 (EoP) 漏洞。

这些漏洞本身会影响 Defender for IoT 堆栈的不同组件。 CVE-2024-21322 是通过门户 Web 应用程序加以利用的 RCE 漏洞,而 CVE-2024-21323 则是通过传感器更新包加以利用的 RCE 漏洞。无论涉及的是哪个组件,所有漏洞都可以通过网络加以利用,因此可以使用 网络分段来检测或抵御部分风险。

CVE 编号

影响

CVE-2024-21322

远程代码执行

CVE-2024-21323

CVE-2024-29053

CVE-2024-21324

权限提升

CVE-2024-29055

CVE-2024-29054

Windows 路由和远程访问服务 (RRAS)

路由和远程访问服务 (RRAS) 是一项 Windows 服务,它让操作系统能够充当路由器,从而通过 VPN 或拨号建立站点到站点的连接。本月,在此服务中发现三个严重漏洞,它们的 CVSS 评分都高达 8.8。修补说明中并未透露太多信息,只表示这些 RCE 漏洞是在毫无戒心的客户端上由恶意服务器所触发。因此, 可以通过 Zero Trust 和分段来抵御这些漏洞所带来的部分风险

并非所有 Windows 服务器都提供了 RRAS,该服务随远程访问角色提供,并且必须专门安装。我们观察发现,大约 12% 的受监控环境中已安装具有远程访问角色的 Windows 服务器。

除了 RRAS 之外,本月的修补对象还包含 远程访问连接管理器中的多个 CVE 漏洞。这两项服务具有相关性,因为连接管理器用于组织 RRAS(以及其他服务)的连接配置文件。

CVE 编号

组件

影响

CVE-2024-26179

RRAS

远程代码执行

CVE-2024-26200

CVE-2024-26205

CVE-2024-26211

连接管理器

权限提升

CVE-2024-26255

信息泄漏

CVE-2024-28901

CVE-2024-28902

CVE-2024-26207

CVE-2024-26217

CVE-2024-28900

Windows 身份验证

Windows 身份验证是一个广义的术语,因为 Windows 支持多种身份验证方法、协议和提供程序。Windows 身份验证中的两个 CVE 针对的是两个完全不同的组件。

CVE-2024-21447 是用户管理器服务中的一个 EoP 漏洞,可能是由于目录限制不当所造成。它绕过了 CVE-2023-36047,因为显然该漏洞已得到部分修复。

CVE-2024-29056则似乎是 Kerberos PAC 验证实施中存在的一个问题(根据常见问题部分和相关 知识库文章所述)。此外,还可能与其他 Kerberos CVE 有关。

CVE 编号

组件

影响

CVE-2024-21447

用户管理器

权限提升

CVE-2024-29056

Kerberos PAC 验证

CVE-2024-26248

CVE-2024-26183

Windows Kerberos

拒绝服务

以前涵盖的服务

在本月的 Patch Tuesday 中,许多 CVE 针对的是我们过去已经介绍过的系统。如果您对我们就这些服务的分析或常规建议感兴趣,建议您了解我们之前发布的 对 Patch Tuesday 的看法 博文。

服务

CVE 编号

影响

所需访问权限

Windows DWM Core Library

CVE-2024-26172                                

信息泄漏

本地

Microsoft 消息队列 (MSMQ)

CVE-2024-26232

远程代码执行

本地,需要用户交互

CVE-2024-26208

网络

Windows SmartScreen Prompt

CVE-2024-29988

安全功能绕过

网络,需要用户交互

这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。您还可以关注我们的 微信公众号,了解更多实时动态。

查看更多研究

相关博客文章

Akamai 研究人员 Stiv Kupchik 在 Microsoft 的 Remote Registry 客户端中发现了一个新的权限提升 (EoP) 漏洞。
Akamai 研究人员 Stiv Kupchik 在 Microsoft 的 Remote Registry 客户端中发现了一个新的权限提升 (EoP) 漏洞。

调用和注册——针对 WinReg RPC 客户端的中继攻击

October 19, 2024
Akamai 研究人员发现了一个新漏洞,攻击者可利用其对 Windows 设备发起权限提升攻击。
經過 Stiv Kupchik
阅读更多内容
此次击溃行动是让互联网变得更安全的重要一步。
此次击溃行动是让互联网变得更安全的重要一步。

Anonymous Sudan 击溃行动:Akamai 的作用

October 16, 2024
美国司法部 (DOJ) Anonymous Sudan 宣布击溃 Anonymous Sudan。阅读 Akamai 是如何在此行动中提供帮助的。
經過 Akamai SIRT
阅读更多内容
本月共有 117 个 CVE,涉及 60 个不同的组件。其中,三个是严重漏洞。
本月共有 117 个 CVE,涉及 60 个不同的组件。其中,三个是严重漏洞。

Akamai 对 2024 年 10 月 Patch Tuesday 的看法

October 11, 2024
尽管 CVE 数量较多,但不要害怕(把它留到万圣节吧)。 这个月我们有 117 个 CVE,其中有 2 个漏洞被广泛利用。
經過 Akamai Security Intelligence Group
阅读更多内容