Akamai 对 2024 年 9 月 Patch Tuesday 的看法
返校时间到了!我们主修的是 CVE 分析。正如我们每个月所做的那样,Akamai 安全情报组着手研究了已修补的神秘漏洞。
在本博文中,我们将评估漏洞的严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞为您提供现实的看法。请在每次 Patch Tuesday 后的几日留意这些见解。
这份报告会持续更新,随着研究的进展,我们将在其中增补更多信息。敬请期待!
在本月中,我们将重点关注已修复漏洞的以下方面
在现实环境中发现的漏洞
CVE-2024-43491 —— Microsoft Windows Update (CVSS 9.8)
与三月份安全更新的版本号相关的问题造成处理可选组件的 Windows Update 部分出现错误。这导致了 Windows Update 确定后续更新不适用并将这些组件恢复为其基本版本。
Microsoft 表示,Windows Update 中的这个错误未被公开利用,但部分受影响的组件存在被公开利用的漏洞,因此进行了分类。
为了解决此 CVE,您应该安装安全更新 KB5043083 和服务栈更新 KB5043936。
受影响的组件包括:
Active Directory 轻型目录服务
管理工具
ASP.NET 4.6
Internet Explorer 11
Internet Information Services
LPD 打印服务
Microsoft 消息队列 (MSMQ) 服务器核心
MSMQ HTTP 支持
MultiPoint Connector
SMB 1.0/CIFS 文件共享支持
Windows 传真和扫描
Windows Media Player
工作文件夹客户端
XPS 查看器
您可使用以下 OSQuery 来检查您的计算机上是否启用了上述任何组件:
SELECT
name, caption, statename
FROM
windows_optional_features
WHERE
caption IN (
'Active Directory Lightweight Directory Services',
'Administrative Tools',
'ASP.NET 4.6',
'Internet Explorer 11',
'Internet Information Services',
'LPD Print Service',
'Microsoft Message Queue (MSMQ) Server Core',
'MSMQ HTTP Support',
'MultiPoint Connector',
'SMB 1.0/CIFS File Sharing Support',
'Windows Fax and Scan',
'Windows Media Player',
'Work Folders Client',
'XPS Viewer'
)
AND state = 1
CVE-2024-38014 —— Windows Installer (CVSS 7.8)
Windows Installer (msiexec.exe) 是 Windows 中的一个组件,负责处理和安装 .msi 文件。关于此漏洞的详细信息并不多,但考虑到成功利用该漏洞可获得 SYSTEM 权限,问题可能出在 Windows Installer 服务(也指向 msiexec)上,而不仅仅是二进制文件的问题。
CVE-2024-38226 —— Microsoft Publisher 安全功能 (CVSS 7.3)
Microsoft Publisher 安全功能旨在保护用户远离有害、恶意的 Microsoft Office 文档。攻击者能够以宏的形式将恶意代码嵌入 Office 文档中。Publisher 安全功能可阻止宏的自动执行,改为向用户显示一条弹出消息来确认是否执行宏。
CVE-2024-38226 可以绕过这些保护措施,让恶意代码能够在用户打开文档时自动运行。
CVE-2024-38217 —— Windows Web 标记 (CVSS 5.4)
连续第二个月出现了“Web 标记”绕过漏洞。“Web 标记”是一项安全功能,负责标记从互联网下载的可能存在危险的文件,用户打开此类文件时会触发 SmartScreen 安全警告。此绕过漏洞会跳过该警告。要想利用该漏洞,攻击者需要以特定方式制作文件,以使 Windows SmartScreen 无法检查该文件,从而绕过安全警告屏幕。
上个月并不是攻击者第一次主动利用 SmartScreen 绕过漏洞。2023 年 11 月和 2024 年 2 月的修补程序都针对据报告被广泛利用的绕过漏洞,提供了修复。
除了被广泛利用的 CVE 之外,本月还修补了另一个 CVE,即 CVE-2024-43487,其 CVSS 评分为 6.5。
Microsoft SharePoint 是基于 Web 的文档管理和存储系统,并与其他 Microsoft Office 产品集成在一起。本月有五个 CVE,其中两个是严重的远程代码执行 (RCE) 漏洞,它们的 CVSS 评分分别为 8.8 (CVE-2024-38018) 和 7.2 (CVE-2024-43464)。其他三个漏洞是另外两个 RCE 漏洞和一个拒绝服务 (DoS) CVE。
CVE-2024-38018 需要攻击者使用至少拥有 SiteMember 权限的帐户向 SharePoint 服务器进行身份验证。目前没有关于攻击者必须执行哪些操作才能触发代码执行的详细信息。
CVE-2024-43464、 CVE-2024-38227和 CVE-2024-38228 需要 SiteOwner 权限。他们还需要上传一个特制的文件并通过 API 请求访问它。这会触发文件参数的反序列化,并导致代码被注入 SharePoint 服务器进程中。
根据我们的观察结果,我们发现大约 30% 的环境中至少有一台机器安装了 SharePoint 服务器 。
SharePoint 服务器通常用于文档共享,因而可能难以在不影响正常运作的情况下对用户进行分段或限制访问。因此,我们建议您尽快修补自己的服务器。
然而,由于 RCE CVE 都需要用户身份验证,因此或许可以通过加强用户访问管理或者提高对可疑用户活动或登录的告警敏感度来减轻一些风险。
Windows 网络地址转换 (NAT)
网络地址转换 (NAT) 是一种网络连接形式,它可以将多个 IP 地址映射到单个 IP 地址后面。其主要用途是通过将整个内部网络 IP 范围置于单个外部 IP 之后来实现网络分离。
本月的 CVE-2024-38119 是 Windows NAT 中的一个严重 RCE 漏洞,它要求赢得争用条件才能成功利用。目前尚不清楚 Windows 中的哪个特定组件负责 NAT,并且由于 NAT 会在典型的网络堆栈之前进行,因此分段可能不是可行的抵御措施。出于此原因,我们建议将打补丁作为唯一的抵御措施。
Microsoft SQL Server
本月,Microsoft SQL Server (MSSQL) 中有 13 个 CVE。其中九个漏洞针对 MSSQL 中的本机评分功能(这是一项机器学习功能,用于根据预训练模型预测数据值);而在这九个漏洞中,有六个是 RCE 漏洞。本机 MSSQL 服务器中有另外四个 CVE。
由于 SQL 服务器通常保存有敏感信息,因此应该对它们进行分段,并实施访问控制限制,以防止数据盗窃事件。如果您尚未实施这样的策略,这不失为理想的添加机会。确定您现有的 MSSQL 服务器(通过查找 MSSQL 服务,或通过查找使用 1433 和 1434 端口的连接)。
确定现有服务器后,根据现有的流量和其他应该拥有访问权的分段(比如,IT 部门对全部数据库的访问权,或财务部门对财务数据库的访问权,等等)创建分段策略。这也是一个很好的机会,可以看到谁在恶意地访问他们不应该接触的数据库。
根据我们的观察, 75% 的网络中都有 MSSQL 服务器。
服务 |
CVE 编号 |
影响 |
|---|---|---|
Microsoft SQL Server 本机评分 |
远程代码执行 |
|
信息泄露 |
||
Microsoft SQL Server |
||
权限提升 |
||
以前涵盖的服务
在本月的 Patch Tuesday 中,许多 CVE 针对的是我们过去已经介绍过的系统。如果您对我们就这些服务的分析或常规建议感兴趣,建议您了解我们之前发布的 对 Patch Tuesday 的看法 博文。
服务 |
CVE 编号 |
影响 |
所需访问权限 |
|---|---|---|---|
拒绝服务 |
网络 |
||
权限提升 |
网络 |
||
远程代码执行 |
网络,已启用 NetNAT 服务 |
||
欺骗 |
网络 |
||
远程代码执行 |
网络,任何经过身份验证的用户 |
||
信息泄露 |
网络 |
||
拒绝服务 |
|||
欺骗 |
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。您还可以关注我们的 微信公众号,了解更多实时动态。