Akamai 对 2024 年 8 月 Patch Tuesday 的看法
这些天来,黑客大量涌入拉斯维加斯,到处都有漏洞利用的迹象出现。美国西部确实非常混乱,正如在本次 Patch Tuesday 上公布的消息, 其中六个漏洞被广泛利用。在 2024 年 8 月的 Patch Tuesday 上,总共发布了 89 个 CVE,其中 4 个已公开披露,另有 1 个已在 Black Hat 上予以介绍。本月还发布了一条公告。
正如我们每个月所做的那样,Akamai 安全情报组着手研究了已修补的神秘漏洞。
在本博文中,我们将评估漏洞的严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞为您提供现实的看法。请在每次 Patch Tuesday 后的几日留意这些见解。
这份报告会持续更新,随着研究的进展,我们将在其中增补更多信息。敬请期待!
在本月中,我们将重点关注已修复漏洞的以下方面:
在现实环境中发现的漏洞
CVE-2024-38178 —— Scripting Engine Memory Corruption (CVSS 7.5)
Windows Scripting Languages 是指 Windows 内脚本语言的多种实现,例如 VBScript、JavaScript 等。我们注意到,文件 jscript9.dll 发生了更改,因此我们认定修复的漏洞位于 JScript 组件中。
JScript 是 Microsoft 对 ECMAScript 的实现,采用与 JavaScript 相同的标准,并可用于 Internet Explorer。Chakra 也是一款 JavaScript 引擎,从 JScript 派生而来,并且可用于 Microsoft Edge Legacy(较新版本的 Edge 基于 Chromium)。两个引擎都已实现为 DLL,很方便地命名为 jscript9.dll 和 chakra.dll。
公告中说明,要发生攻击,受害者需要单击一个链接,并在 Internet Explorer 模式下使用 Edge。我们推测,这个漏洞也可能会通过其他方式(有可能是 Office)触发。
CVE-2024-38213 —— Windows Mark of the Web (CVSS 6.5)
还有一点需要注意, 此漏洞已于 2024 年 6 月修复,但是直到 2024 年 8 月才发布公告。
这是一个安全绕过漏洞,在打开从网络下载的潜在恶意文件时会跳过 SmartScreen 安全警告。在这种情况下,Windows SmartScreen 负责显示警告屏幕。要想利用该漏洞,攻击者需要以特定方式制作文件,以使 Windows SmartScreen 无法检查该文件,从而绕过安全警告屏幕。
这不是攻击者第一次主动利用 SmartScreen 绕过漏洞。2023 年 11 月和 2024 年 2 月的修补程序都针对据报告被广泛利用的绕过漏洞,提供了修复。
在现实环境中还发现了另外四个被利用的漏洞。
Windows TCP/IP
在 Windows 中,TCP/IP 堆栈是操作系统联网功能的核心组件。该组件使用 TCP/IP 协议套件处理网络上的数据传输,这是互联网以及大多数局域网进行通信的基础。
在 Windows 操作系统中,TCP/IP 堆栈在 tcpip.sys 驱动程序中实现。此内核模块负责处理网络协议,包括传输层上的 TCP 协议,例如 IPv4 和 IPv6。
CVE-2024-38063 (CVSS 9.8) 是此网络堆栈中的一个严重漏洞,允许 未经身份验证的攻击者 发送包含特制内容的 IPv6 数据包,可能导致远程代码执行。
在 Microsoft 安全响应中心 团队发布的一篇重要博文中,讨论了以前在此组件中发现的 CVE,一些恶意制作的数据包可以通过这些漏洞,实现远程代码执行 (RCE) 和拒绝服务 (DoS) 攻击。CVSS 指出,相比之前的发现,此攻击的复杂程度较低 (AC:L)。
根据 Microsoft 的调查,禁用了 IPv6 的机器不受此漏洞的影响。我们认为,此漏洞很有可能被恶意攻击者使用,这是由于 IPv6 的广泛使用、攻击的复杂程度较低且可供未经授权的攻击者利用等多种因素,所以一定要为您的机器打补丁!
您可以使用以下 osquery 来检测已启用且具有 IPv6 地址的网络适配器:
SELECT interface_details.connection_id, interface_addresses.address
FROM interface_details
JOIN interface_addresses ON interface_addresses.interface =
interface_details.interface
WHERE enabled=1 AND interface_addresses.address like "%::%";
Windows 网络虚拟化
Windows 网络虚拟化 (WNV) 是 Hyper-V 网络虚拟化框架中的一项功能,通过此功能,即使虚拟机 (VM) 位于不同子网或物理网络中,仍可以像是在同一子网中一样进行通信。在实现此功能时,虚拟网络与物理网络分离开,使得 VM 可以跨物理主机移动而无需变更网络配置。
WNV 使用 Network Virtualization Generic Routing Encapsulation (NVGRE) 或 Virtual Extensible LAN (VXLAN) 进行数据包封装,在云环境中提供隔离、可扩展性和多租户支持。
CVE-2024-38159 和 CVE-2024-38160 均可以造成客户机到主机逃逸,进而最终导致 RCE。虽然这两个漏洞的 CVSS 评分均为 9.1,但它们只影响 Windows Server 2016 和 Windows 10 (1607)。
Microsoft 建议缓解这些漏洞的方法是,在其他虚拟平台(例如 VMware)中运行 Hyper-V 机器,或者彻底放弃基于 Hyper-V 的虚拟化。
Windows 路由和远程访问服务 (RRAS)
路由和远程访问服务 (RRAS) 是一项 Windows 服务,它让操作系统能够充当路由器,从而通过 VPN 或拨号建立站点到站点的连接。本月,在此服务中发现六个漏洞,其中五个的 CVSS 评分高达 8.8。
修补说明中并未透露太多信息,只表示这些 RCE 漏洞是在毫无戒心的客户端上由恶意服务器所触发。因此, 可以通过 Zero Trust 和分段来抵御这些漏洞所带来的部分风险。
并非所有 Windows 服务器都提供了 RRAS,该服务随远程访问角色提供,并且必须专门安装。我们发现,在大约 12% 的受监控环境中安装了具有远程访问角色的 Windows 服务器。
Microsoft Outlook
看起来,如果没有 Outlook 漏洞,就会少一次 Patch Tuesday。 CVE-2024-38173 是 Outlook 中的一个 RCE 漏洞。虽然可以将预览窗格作为攻击媒介,但该漏洞需要有受害者的凭据。
若要触发该漏洞,需要将一个恶意表单上传到 Exchange。受害者的 Outlook 与 Exchange 同步时会下载该恶意表单,这可能导致在受害者机器上执行代码。此漏洞由 Morphisec 发现,我们认为此漏洞类似于 CVE-2024-30103。
以前涵盖的服务
在本月的 Patch Tuesday 中,许多 CVE 针对的是我们过去已经介绍过的系统。如果您对我们就这些服务的分析或常规建议感兴趣,建议您了解我们之前发布的 对 Patch Tuesday 的看法 博文。
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。您还可以关注我们的 微信公众号,了解更多实时动态。