Akamai 对 2024 年 12 月 Patch Tuesday 的看法
降临节日历有什么意义?现在就将一切都给我们吧。我们所说的“一切”是指 CVE。本月共有 71 个 CVE,涉及 32 个不同的组件。在这些 CVE 中,有 17 个是严重 CVE,还有一个被广泛利用。
在本博文中,我们将评估漏洞的严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞为您提供现实的看法。请在每次 Patch Tuesday 后的几日留意这些见解。
这份报告会持续更新,随着研究的进展,我们将在其中增补更多信息。敬请期待!
在本月中,我们将重点关注已修复漏洞的以下方面:
Windows 公用日志文件系统驱动程序
公用日志文件系统 是 Windows 中的一个 API,用于提供高性能日志记录功能。开发人员和程序依赖于 DLL 文件 Clfsw32.dllfile 与其进行交互,该文件是一个用户模式组件。但是,在后台,逻辑是在内核驱动程序 clfs.sys 中实施的。本月修补的漏洞很可能存在于此内核驱动程序中。
这值得注意,因为攻击者也许能够通过 存在漏洞的自带驱动程序 (BYOVD) 攻击将此合法驱动程序作为一种特权提升手段,甚至在已修补的系统上也能实现。
有三个 CVE 都可用于本地特权提升。其中只有一个漏洞 CVE-2024-49138被广泛利用。只有 CVE-2024-49138。
CVE 编号 |
影响 |
---|---|
权限提升 |
|
Windows 轻型目录访问协议 (LDAP)
Windows 轻型目录访问协议 (LDAP) 是一种开源协议,旨在连接并查询目录服务和数据库。Active Directory 的域控制器具有一个 LDAP 服务器实现,允许依赖 LDAP 的现有程序和服务器使用现有的域控制器,而不需要单独的服务器。
本月有四个漏洞存在于 LDAP 服务中,它们会影响未修补的域控制器。两个是远程代码执行 (RCE) 漏洞,另两个是拒绝服务 (DoS) 漏洞。所有四个漏洞都不需要任何身份验证。
CVE 编号 |
影响 |
---|---|
远程代码执行 |
|
拒绝服务 |
|
还有另一个 RCE 漏洞 CVE-2024-49124,归因于 LDAP 客户端。但是,其说明中提到的是服务器端的漏洞利用。目前不确定它针对客户端还是服务器。
我们不能冒着停机的风险修补域控制器。可以通过其他方式抵御漏洞吗?
不可以。由于域控制器对于域的所有组成部分都不可或缺,实际上,不可能在不影响正常网络操作的情况下限制对它的访问。甚至跟踪这些漏洞都可能很困难,因为它们不需要身份验证。事件响应团队可以留意那些没有服务器回复的短暂 LDAP 会话。这可能表明存在攻击尝试。
在任何情况下,请确保域控制器未向互联网开放。
Windows 远程桌面服务
Windows 远程桌面用于通过远程桌面协议 (RDP) 在 Windows 计算机之间建立远程桌面连接。本月有多个与 Windows 远程桌面不同组件相关的漏洞,我们将一并讨论。
当然,主要的漏洞是远程桌面服务器上的 9 个严重 RCE 漏洞。攻击者“仅”需连接到 RDP 服务器,向其发送畸形数据包,并赢得争用条件,即可利用该条件实现 RCE。
由于 RDP 在网络中十分常见,并且可以用于 横向移动,我们建议制定覆盖它的策略规则。 据我们观察, 96% 的网络具有 Windows RDP 流量,并且 20% 的网络对其中的部分流量没有任何限制。令人欣慰的是,尽管这些 CVE 被认为会影响所有 Windows 远程桌面服务,但其中大多数 CVE 都专门针对用作远程桌面网关的服务器。远程桌面网关不太常见,据我们的观察,仅有 36% 的环境有此类网关。
CVE 编号 |
影响 |
---|---|
拒绝服务 |
|
远程代码执行 |
|
远程代码执行、客户端 |
限制 RDP 对用户机器的访问,或仅限制预先授权的服务器(如跳箱)的访问,可以大大降低此类漏洞引发的风险。我们在 分段的博文中讨论了一些关于 RDP 的速效方案。无论政策如何,我们建议您尽快进行修补。
Microsoft 消息队列 (MSMQ)
Microsoft 消息队列 (MSMQ) 服务是一项 可选功能 ,用于在不同的应用程序之间传递消息。尽管该服务是可选的,但 Windows 的许多企业应用程序背后都使用了该服务,例如 Microsoft Exchange Server。 据我们观察,该服务安装在了将近 70% 的工作环境中并且通常安装在不止一台机器上。
本月有两个严重的网络 RCE 漏洞,这些漏洞让攻击者可以通过向受害的 MSMQ 服务器发送特制的数据包来远程执行代码,而无需进行任何身份验证。还有另一个 DoS 漏洞。
由于 MSMQ 服务可通过端口 1801 进行访问,但通常不会被很多客户端访问 (大多数情况下都是由企业应用程序本身使用), 因此我们建议限制对该端口和服务的任意网络访问权限。请尝试使用允许列表策略对服务进行分段,同时仅将访问权限授予真正需要访问该服务的机器。您可以参阅我们的分段博文,尤其是其中的 应用程序隔离 和 微分段 部分,以获取更多信息。
CVE 编号 |
影响 |
---|---|
远程代码执行 |
|
拒绝服务 |
Windows 本地安全机构子系统服务 (LSASS)
本地安全机构子系统服务 (LSASS) 是 Windows 操作系统的一项核心进程。它以用户模式运行,但作为一项受保护的进程,它还负责处理访问和安全事务,即用户登录、密码验证和安全令牌管理。
攻击者和红队使用的一种常见手段是转储进程的内存,以获取其中存储的用户密码。Microsoft 对此 采取了阻止措施 ,向该进程中增加了更多的安全机制,例如使其成为受保护进程,并且最近还使用 Hyper-V 将其与普通用户模式隔离。 这非常重要。
作为负责登录的进程,它还始终在侦听一些网络组件,即以 RPC 服务器的形式进行侦听。本月的严重 RCE 是 CVE-2024-49126,它与以下组件之一相关:竞争条件可以让远程攻击者无须经过身份验证即可在进程上执行任意代码。
以前涵盖的服务
在本月的 Patch Tuesday 中,许多 CVE 针对的是我们过去已经介绍过的系统。如果您对我们就这些服务的分析或常规建议感兴趣,建议您了解我们之前发布的 对 Patch Tuesday 的看法 博文。
服务 |
CVE 编号 |
影响 |
所需访问权限 |
---|---|---|---|
任意代码执行 |
网络;用户需要打开恶意文件 |
||
权限提升 |
网络 |
||
信息泄露 |
|||
远程代码执行 |
网络 |
||
远程代码执行 |
本地;客户机到宿主机 |
||
权限提升 |
本地 |
||
权限提升 |
本地 |
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。您还可以关注我们的 微信公众号,了解更多实时动态。