Akamai 对 2024 年 1 月 Patch Tuesday 的看法
新的一年,新的 CVE。正如我们每个月所做的那样,Akamai 安全情报组着手研究了已修补的神秘漏洞。本月总共有 48 个 CVE,其中只有 2 个是严重漏洞,但我们也获得了“年终奖”——本月修补的 CVE 中有 2 个是由 Akamai 研究人员 Ben Barnea 和 Tomer Peled发现的。
在本博文中,我们将评估漏洞的实际严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞为您提供现实的看法。请在每次 Patch Tuesday 后的几日留意这些见解。
这是一份持续更新的报告,随着我们的研究进展,我们将在其中增补更多信息。敬请期待!
在本月中,我们将重点关注已修复漏洞的以下方面:
Windows HTML 平台
虽然本月的名称是 Windows HTML 平台,但我们认为这个名称也指的是 Windows MSHTML,就像上个月一样。MSHTML 是用于 Windows 操作系统的网页渲染程序。它会开放组件对象模型 (COM) 接口,以允许程序添加网页渲染功能。Internet Explorer、Microsoft Edge 的 Internet Explorer 模式、Microsoft Outlook 和其他各种程序都使用 MSHTML 组件。
Akamai 研究人员 Ben Barnea 发现了 CVE-2024-20652,这是 CVSS 评分为 7.5 的一个安全功能绕过漏洞。该漏洞本身位于 MapUrlToZone 函数中,调用该函数目的通常是用于确定某个 URL 指向的是机器上的资源、网络内的资源还是互联网上的资源。
此漏洞类似于 先前披露的漏洞。它会导致 MapUrlToZone 误认为某个 URL 驻留在内部网中,而该 URL 实际指向的是互联网资源。攻击者可以滥用此漏洞来绕过 Outlook 的 CVE-2023-23397 补丁,并最终导致将 NTLM 凭据泄露给远程(由攻击者控制的)目标。
Windows Themes
Windows Themes 是 Windows 中的一项功能,用户可利用此功能更改图标显示方式、更改字体等等。它内置在 Windows 中。
Akamai 研究人员 Tomer Peled 发现了 CVE-2024-21320,该漏洞归类为欺骗漏洞,CVSS 评分为 6.5。更准确地说,它是一个强制身份验证漏洞,因为它会导致受害者发起 NTLM 身份验证。
要触发该漏洞,用户只需要使用资源管理器 查看 恶意主题文件,而无需进行任何进一步的交互(甚至不需要明确地打开该主题文件)。我们将在后续博文中分享有关此漏洞的详细信息,敬请关注。
本月,Windows 主题中的另一个 CVE (CVE-2024-20691) 已得到修补。该漏洞是一个信息泄露漏洞,只要攻击者能够成功实施攻击,该漏洞就可以将堆内存泄露给攻击者。
Windows Hyper-V
Windows Hyper-V 是 Windows 中的原生虚拟机监控程序。它可以实现在单个主机上托管虚拟机(客户机)。虚拟化在企业网络中很常见,因为它可以节省硬件成本。
据我们观察, 90% 的环境都至少有一台已启用 Hyper-V 的机器(主机),并且平均有 25% 的 Windows 机器都已启用 Hyper-V。
本月,Hyper-V 中有两个漏洞已得到修补,其中一个是严重漏洞。
- CVE-2024-20699 是一个拒绝服务 (DoS) 漏洞,攻击者可以在容易受到攻击的客户机上触发该漏洞。它要求攻击者拥有对容易受到攻击的客户机的本地访问权限。
- CVE-2024-20700 是一个 严重 的远程代码执行漏洞,攻击者可以通过该漏洞在易受攻击的 Hyper-V 机器上运行代码。
抵御措施
由于 CVE-2024-20700 需要网络访问权限,因此应当能够使用 网络分段 来限制 Hyper-V 主机的访问范围,从而降低攻击风险。此方法并非用作修补的替代方案,而是用作短期解决方案。要检测 Hyper-V 主机,您可以使用以下 OSQuery:
Windows Kerberos
Kerberos 是 Windows 域架构的主干,是默认的身份验证机制,已取代 NTLM。本月,Kerberos 中有一个严重漏洞已得到修补: CVE-2024-20674。
根据 Microsoft 对该漏洞的描述,它可以让攻击者实现身份冒充,并且要求攻击者与受害者客户端建立中间机器 (MITM) 通道。这让攻击者可以伪装成身份验证服务器。
攻击链
根据我们的理解,成功的攻击链应当如下所示:
- 攻击者对受害者建立 MITM 位置。可以通过很多方法来完成此操作,例如 ARP、LLMNR 或 DNS 中毒。(Akamai 研究人员 Ori David 最近发现了一种用于通过 DHCP DNS 欺骗实现 MITM 的新攻击媒介。)
- 攻击者向受害者发送一条恶意的 Kerberos 消息,该消息会让受害者相信攻击者的机器是 Kerberos 身份验证服务器。
- 在客户端连接到攻击者的机器后,攻击者就可以利用该漏洞来冒充此客户端,并以其名义在域内执行一些操作。
抵御措施
由于 Kerberos 是 Windows 域不可或缺的一部分,因此尽快为您的系统安装补丁至关重要,尤其是该漏洞已被标记为“更有可能被利用”。由于该漏洞会影响 Kerberos 客户端,因此仅对域控制器安装补丁可能远远不够,必须修补域中的所有 Windows 机器。
修补如此多的系统可能非常耗时,尤其是在规模较大的域中更是如此。此外,我们提供了两个建议来检测该漏洞可能的利用现象。
- 您可以分析 Windows 事件日志以查找网络中的异常登录——事件 ID 4624 或 4625。如果您看到用户登录事件来自于原本没有该用户的机器,或者用户登录事件具有异常登录类型(例如, 网络 或 批处理),则这应当引起您的关注。
- 由于 Kerberos 身份验证由 Netlogon RPC 接口处理,因此您可以使用 RPC ETW 日志来搜索通过 NetLogon 连接到不是域控制器的客户端。我们的 RPC Visibility 开源工具可以 帮助完成此操作。
以前涵盖的服务
在本月的 Patch Tuesday 中,许多 CVE 针对的是我们过去已经介绍过的系统。如果您对我们就这些服务的分析或常规建议感兴趣,建议您了解我们之前发布的 对 Patch Tuesday 的看法 博文。
服务 |
CVE 编号 |
影响 |
所需访问权限 |
|---|---|---|---|
远程代码执行 |
本地;需要用户打开恶意创建的文件 |
||
远程代码执行 |
网络 |
||
远程代码执行 |
网络 |
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。您还可以关注我们的 微信公众号,了解更多实时动态。
