Akamai 对 2024 年 11 月 Patch Tuesday 的看法
在期盼感恩节到来的同时,让我们先感谢 Patch Tuesday。本月共有 89 个 CVE,涉及 39 个不同的组件。在这些 CVE 中,有四个是严重 CVE,还有两个已 在现实环境中发现。
在本博文中,我们将评估漏洞的严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞为您提供现实的看法。请在每次 Patch Tuesday 后的几日留意这些见解。
这份报告会持续更新,随着研究的进展,我们将在其中增补更多信息。敬请期待!
在本月中,我们将重点关注已修复漏洞的以下方面:
在现实环境中发现的漏洞
CVE-2024-49039 ——Windows 任务计划程序 (CVSS 8.8)
Windows 任务计划程序是 Windows 的一个核心组件,用户通过它可以安排命令或程序(任务)按计划自动运行。默认情况下,所有 Windows 系统上都提供了该工具。用户可以使用管理控制台与任务计划程序轻松进行交互,但程序和进程也可以通过 RPC 接口与任务计划程序轻松进行交互。
通常,其 RPC 接口会有严格的访问控制机制,并且仅允许具有相应权限的用户创建或运行任务。 CVE-2024-49039 显然规避了其中的部分检查。根据补丁说明,低完整性 AppContainer (一种旨在防止不可信程序获取过多访问权限的安全机制)可以滥用任务计划程序,以高于应有的完整性级别运行命令,这据称是通过 RPC 接口实现的。
CVE-2024-43451 ——Windows MSHTML 平台 (CVSS 6.5)
CVE 说明提到,MSHTML 平台组件受到了影响,因此我们将重点关注该组件。
MSHTML 是用于 Windows 操作系统的网页渲染程序。它会开放组件对象模型 (COM) 接口,以允许程序添加网页渲染功能。Internet Explorer、Microsoft Edge 的 Internet Explorer 模式、Microsoft Outlook 和其他各种程序都使用 MSHTML。
过去,相关人员在 MSHTML 平台中发现了多个漏洞(其中包括 Akamai 研究人员发现的一些漏洞)。对于攻击者来说,该平台是一个颇具吸引力的利用目标,因为它能够规避防御机制并且它是 Windows 中的一项内置功能。
这次,似乎是一个特制的文件,用户在打开该文件时会导致 NTLMv2 哈希值泄露。NTLM 是 Windows 中一种身份验证协议,密码哈希值的泄露会导致身份验证中继攻击,或者攻击者可以利用密码哈希值进行离线破解,从而获取用户的明文密码。
Microsoft Windows VMSwitch
VMSwitch 是 Hyper-V 的一个组件,而 Hyper-V 则是 Microsoft 的虚拟机监控程序。Hyper-V 除了用于运行虚拟机之外,还通过提供一个比内核更具特权和安全性的安全虚拟机监控程序,在提升系统安全性方面也起到了关键作用。
VMSwitch 是驱动程序,负责管理 Hyper-V 上托管的虚拟机 (VM) 之间的网络流量。它是一个半虚拟化组件,也就是说,当 Hyper-V 客户机与它进行交互时,它会直接在宿主机上运行。这使它成为一个有利可图的研究目标,因为它允许从客户机到宿主机的攻击。
惊不惊喜,意不意外? CVE-2024-43625 正是利用此程序的漏洞。运行 Hyper-V 客户机的攻击者可以向 VMSwitch 发送特制的联网请求,从而实现可以被用来在宿主机环境中运行代码的 Use After Free 漏洞。如果您还记得 Hyper-V 也是 Microsoft Azure 的虚拟机监控程序,那么它会更加有利可图,因此该漏洞的影响可能非常大。
这并不是 VMSwitch 第一次成为攻击目标。事实上,早在 2021 年,我们就 对其进行了研究 并发现了一个评分为 9.9 的严重 RCE 漏洞;我们甚至在当年的 BlackHat大会上展示了自己的研究结果。
除了严重漏洞之外,还有其他两个 CVE 会影响 Hyper-V:
CVE 编号 |
影响 |
|---|---|
拒绝服务 |
|
权限提升 |
可通过运行以下 osquery 来检测 Hyper-V 的使用:
select name, statename from windows_optional_features where name like 'Microsoft-Hyper-V%'
根据我们的观察,93% 的环境都有启用了 Hyper-V 的机器,这些机器平均占网络的 25%。
Windows Kerberos
Kerberos 是 Windows 域架构的主干,是默认的身份验证机制,已取代 NTLM。本月,Kerberos 中有一个严重漏洞已得到修补: CVE-2024-43639 (CVSS 9.8)。
成功实施攻击可实现远程代码执行,并且不需要任何身份验证。再加上它是一个加密漏洞,这让我们相信,攻击可能会以 Kerberos 预身份验证过程为目标,该过程会在首次登录域时发生。这意味着攻击主要以域控制器为目标,但也有可能调整为对任何其他 Windows 机器生效。如果加密漏洞确实存在于票据解析的实现中,那么可以在身份验证过程的稍后阶段应用它。
Windows SMBv3 Server
SMBv3 是指通过 QUIC 协议运行 SMB 文件服务器,该协议是一种新型的传输协议。(它于 2012 年推出,并于 2021 年实现标准化。作为参考,TCP 于 1974 年推出,并于 1980 年实现标准化。)它基于 UDP 构建,并支持多路复用、加密等。Microsoft 也将 QUIC 纳入了 Windows,较新版本的 Windows(Windows 11 和 Windows Server 2025)已通过各种方式支持该协议。
通过利用 CVE-2024-43447,恶意的客户端可以在受害的 SMBv3 服务器上触发 Double Free 。在成功利用该漏洞的情况下,这会导致远程代码执行。虽然此漏洞可能很严重,但由于 QUIC 尚未得到广泛使用,因此它在现实生活中的潜在影响很低。事实上,根据我们的观察, 只有 8% 的环境中有服务器启用了 QUIC。而在这 8% 的环境中,有 SMBv3 服务器的环境所占百分比甚至更低,因为默认情况下并未启用该协议。
担心此问题的网络管理员可以使用分段限制 QUIC 流量,因为它通过 UDP 端口 443 进行通信。或者,他们可以在自己的 SMB 文件服务器(如果有)上禁用 QUIC 支持。
除了此漏洞之外,常规 SMB 中还有另一个拒绝服务漏洞: CVE-2024-43642。
以前涵盖的服务
在本月的 Patch Tuesday 中,许多 CVE 针对的是我们过去已经介绍过的系统。如果您对我们就这些服务的分析或常规建议感兴趣,建议您了解我们之前发布的 对 Patch Tuesday 的看法 博文。
服务 |
CVE 编号 |
影响 |
所需访问权限 |
|---|---|---|---|
欺骗 |
网络,未经身份验证 |
||
远程代码执行 |
网络 |
||
权限提升 |
本地 |
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。您还可以关注我们的 微信公众号,了解更多实时动态。