Akamai 对 2024 年 2 月 Patch Tuesday 的看法
玫瑰花虽是可爱的礼物,但在安全领域中,修补程序更受欢迎。正如我们每个月所做的那样,Akamai 安全情报组着手研究了已修补的神秘漏洞。在本月的 73 个 CVE 中,有 5 个是严重漏洞,但我们还发现另外 2 个被攻击者广泛利用的 CVE: CVE-2024-21351 (Windows SmartScreen 中)和 CVE-2024-21412 (互联网快捷方式文件中)。这两个漏洞都是安全绕过漏洞,攻击者可绕过安全检查,并使用户正不知情的情况下访问潜在恶意文件。
在本博文中,我们将评估漏洞的实际严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞为您提供现实的看法。请在每次 Patch Tuesday 后的几日留意这些见解。
这是一份持续更新的报告,随着我们的研究进展,我们将在其中增补更多信息。敬请期待!
在本月中,我们将重点关注已修复漏洞的以下方面:
被攻击者广泛利用的漏洞
CVE-2024-21351 :Windows SmartScreen (CVSS 7.6)
这是一个安全绕过漏洞,在打开从网络下载的潜在恶意文件时会跳过 SmartScreen 安全警告。在这种情况下,Windows SmartScreen 负责显示警告屏幕。要想利用该漏洞,攻击者需要以特定方式制作文件,以使 Windows SmartScreen 无法检查该文件,从而绕过安全警告屏幕。根据 CVE 说明,还可以通过此漏洞将代码注入 SmartScreen 进程。
这不是攻击者第一次主动利用 SmartScreen 绕过漏洞。 2023 年 11 月的修补程序 还修复了据报告被攻击者主动利用的绕过漏洞。
CVE-2024-21412 — 互联网快捷方式文件 (CVSS 8.1)
互联网快捷方式文件是指向互联网地址的 .url 文件。该漏洞绕过了双击这些文件时应当进行的一些安全检查,类似于上述 SmartScreen CVE(事实上,2023 年 11 月公布的 SmartScreen CVE 专门针对互联网快捷方式文件,并且此 CVE 绕过了其修补程序)。攻击者为了触发这个漏洞,精心设计了特殊的快捷方式文件,受害者单击文件就能触发漏洞。曾被 Water Hydra 黑客集团攻击活动所利用。您可以在 Peter Girnus 的博文 (位于 X 平台,即以前的 Twitter 上)或 Trend Micro 的博客中了解详细信息。
Windows Exchange Server 和 Microsoft Outlook
尽管 Exchange Server 和 Outlook 是两个独立的产品,但它们之间的关系非常密切(前者是电子邮件服务器,后者是电子邮件客户端),因此我们决定将它们放在一起讨论。Outlook 已修补了三个 CVE,其中一个是严重漏洞,另外一个是 Exchange Server 中的严重 CVE 漏洞。
CVE-2024-21413 是 Outlook 中一个高危远程代码执行漏洞,(据 Microsoft 的说明)该漏洞允许攻击者绕过 Office Protected View ,并以编辑模式而非只读模式打开文档。这可能会导致绕过安全机制并泄露凭据,攻击者会利用这些凭据执行远程代码。该漏洞是由 Check Point Research 的 Haifei Li 发现的,您可以在这篇 博文中详细了解该漏洞。
CVE-2024-21410 是另一个高危远程代码执行漏洞,但存在于 Windows Exchange Server 中。利用该漏洞需要攻击者实施某种中间机器通道,将凭据中继到 Exchange Server 并以受害者身份进行身份验证。然后,攻击者可以代表受害者执行特权操作。Microsoft 建议启用 身份验证扩展保护 以抵御风险,但也建议进行修补。根据我们的观察结果,我们发现 27% 的企业网络拥有本地 Exchange 服务器。
CVE 编号 |
组件 |
影响 |
所需访问权限 |
|---|---|---|---|
Windows Exchange Server |
权限提升 |
网络 |
|
Microsoft Outlook |
远程代码执行 |
||
权限提升 |
本地 |
Windows OLE 和 ODBC
Windows OLE 和 ODBC 都是 API 规范,用于分离数据使用者和数据源之间的连接。ODBC 较旧且程序化,而 OLE 较新,使用组件对象模型 (COM) 来实现,并且还支持非关系数据库。
本月修补了 18 个 CVE,其中 16 个与 OLE 相关,2 个与 ODBC 相关。所有 CVE 均用于针对数据库客户端的远程代码执行。攻击者必须引诱受害者连接到他们控制的恶意数据库,然后他们可以从中发送专门制作的数据包以触发受害者客户端上的远程代码执行。几乎所有 CVE 的 CVSS 评分都为 8.8。
可行的抵御措施
所有漏洞的影响均可通过使用分段来减轻。通过创建企业内的已知 SQL 服务器允许列表,可以避免与外部未知服务器建立连接,从而阻止上述攻击链。
CVE 编号 |
组件 |
|---|---|
Microsoft WDAC ODBC Driver |
|
Microsoft ODBC Driver |
|
Windows OLE |
|
SQL Server 的 Microsoft WDAC OLE DB 提供程序 |
|
以前涵盖的服务
在本月的 Patch Tuesday 中,许多 CVE 针对的是我们过去已经介绍过的系统。如果您对我们就这些服务的分析或常规建议感兴趣,建议您了解我们之前发布的 对 Patch Tuesday 的看法 博文。
服务 |
CVE 编号 |
影响 |
所需访问权限 |
|---|---|---|---|
权限提升 |
本地 |
||
任意代码执行 |
|||
远程代码执行 |
网络 |
||
拒绝服务 |
网络 |
||
拒绝服务 |
网络 |
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。您还可以关注我们的 微信公众号,了解更多实时动态。
