Akamai 对 2024 年 5 月 Patch Tuesday 的看法
一年只有一个星球大战日,却有 12 个 Patch Tuesday。要我说,这真是一个可怕的比例…
但无论如何,我们都需要面对现实。5 月的更新包含 59 个 CVE,其中只有一个是严重漏洞(存在于 Microsoft SharePoint 服务器中),同时也包含了修补程序,针对两个 在现实环境中发现的漏洞。
在本博文中,我们将评估漏洞的严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞为您提供现实的看法。请在每次 Patch Tuesday 后的几日留意这些见解。
这是一份持续更新的报告,随着我们的研究进展,我们将在其中增补更多信息。敬请期待!
在本月中,我们将重点关注已修复漏洞的以下方面:
在现实环境中发现的漏洞
CVE-2024-30040 ——Windows MSHTML 平台
MSHTML 是用于 Windows 操作系统的网页渲染程序。它会开放组件对象模型 (COM) 接口,以允许程序添加网页渲染功能。Internet Explorer、Microsoft Edge 的 Internet Explorer 模式、Microsoft Outlook 和其他各种程序都使用 MSHTML 组件。
相关人员在 MSHTML 平台中发现了多个漏洞(其中包括 Akamai 研究人员发现的几个漏洞)。对于攻击者来说,该平台是一个颇具吸引力的利用目标,因为它能够规避防御机制并且它是 Windows 中的一项内置功能。
Microsoft 安全响应中心 (MSRC) 表示,这次该漏洞绕过了 Microsoft 365 和 Microsoft Office 中的 OLE 抵御措施。此漏洞需要攻击者通过某种形式的社会工程诱使用户下载并打开某个恶意文件。在该恶意文件打开并且此漏洞触发后,攻击者便可以在受害用户所处的环境中执行代码。
CVE-2024-30051 ——Windows DWM Core Library
与上一个漏洞不同的是,此漏洞为 Windows 桌面窗口管理器 (DWM) 中的权限提升漏洞。DWM 负责管理屏幕上的可见窗口;自 Windows Vista 问世以来,它便成为 Windows 的一个组件,可在 dwm.exe 进程中实施。
此漏洞被 Kaspersky检测到,并且遭到了 QakBot 木马攻击活动的滥用。
Microsoft SharePoint 是基于 Web 的文档管理和存储系统,并与其他 Microsoft Office 产品集成在一起。本月有两个 CVE,一个是 CVSS 评分为 8.8 的严重远程代码执行 (RCE) 漏洞 (CVE-2024-30044),另一个是 CVSS 评分为 6.5 的信息泄漏漏洞 (CVE-2024-30043)。
CVE-2024-30044 需要攻击者使用至少拥有 SiteOwner 权限的帐户向 SharePoint 服务器进行身份验证。在通过身份验证后,他们需要上传一个特制的文件并使用 API 请求访问它。这会触发文件参数的反序列化,并导致代码被注入 SharePoint 服务器进程中。MSRC 表示,此漏洞“更可能被利用”,这意味着尽管此漏洞的触发涉及多个步骤,但并不复杂。
CVE-2024-30043 也需要身份验证,并且它让攻击者能够获取服务器上的文件内容。根据攻击者所拥有的用户权限,他们可以访问的文件范围会相应地发生变化。
根据我们的观察结果,我们发现大约 30% 的环境中至少有一台机器安装了 SharePoint 服务器。
SharePoint 服务器通常用于文档共享,因而可能难以在不影响正常运作的情况下对用户进行分段或限制访问。因此,我们建议您尽快修补自己的服务器。
然而,由于这两个 CVE 都需要用户身份验证,因此可以通过加强用户访问管理或提高对可疑用户活动或登录的告警敏感度来减轻一些风险。
以前涵盖的服务
在本月的 Patch Tuesday 中,许多 CVE 针对的是我们过去已经介绍过的系统。如果您对我们就这些服务的分析或常规建议感兴趣,建议您了解我们之前发布的 对 Patch Tuesday 的看法 博文。
服务 |
CVE 编号 |
影响 |
所需访问权限 |
|---|---|---|---|
远程代码执行 |
网络 |
||
远程代码执行 |
网络,用户需要连接到恶意 SQL 服务器 |
||
拒绝服务 |
网络 |
||
信息泄漏 |
本地 |
||
欺骗 |
网络,需要进行身份验证 |
||
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。您还可以关注我们的 微信公众号,了解更多实时动态。