微軟在 13 日例行修補程式日發布更新修補程式,破天荒一口氣修補多達 90 個安全漏洞,其中「嚴重級」漏洞有 9 個、「高等級」 80 個、「中等級」1 個。其中還包括 10 個零時差漏洞,有 6 個漏洞已在實際網路上被濫用。但日前被揭露會引發降級攻擊風險並讓系統回到未修補狀態下的 CVE-2024-38202 和 CVE-2024-21302 漏洞,微軟仍未發布更新修補程式。
6 個已在實際網路上被濫用的零時差漏洞,已被美國網路安全與基礎設施安全局(CISA)新增到「已知被利用漏洞」(KEV)清單中,同時要求聯邦機構必須在 2024 年 9 月 3 日前完成修補程式的更新作業。
其中,CVE-2024-38213 允許攻擊者繞過 SmartScreen 的安全保護功能,但攻擊者需要向使用者發送惡意檔案並誘騙開啟該檔案才行。該漏洞由趨勢科技 ZDI 資深分析師 Peter Girnus 發現並通報,他認為其安全規避手法,和之前被 DarkGate 惡意軟體駭客所利用 CVE-2024-21412 或 CVE-2023-36025 漏洞的手法類似。
趨勢科技隨後推翻了部分的看法,認為 CVE-2024-38213 和 CVE-2024-21412 的安全機制繞過手法不同,因為在 WebDAV 擴充模組共享上的任何檔案都會受到該漏洞的影響。
▲ 微軟 7/13 已修補 10 大零時差漏洞。(Source:科技新報製表)
針對 CVE-2024-38200 漏洞,攻擊者可以透過誘使受害者存取精心製作的惡意檔案或釣魚郵件附檔來利用此漏洞,進而讓遠端攻擊者掌握 New Technology Lan Manager(NTLM)雜湊值,攻擊者接下來能藉此發動 NTLM 中繼或雜湊傳遞(pass-the-hash)攻擊,進而入侵組織。
這次更新還修補了 Print Spooler 元件中的一個權限提升漏洞(CVE-2024-38198,CVSS 評分:7.8),該漏洞讓攻擊者有可能獲得最高 SYSTEM 權限。根據微軟說法,但若要成功利用此漏洞,前提是攻擊者必須贏得「競爭條件」(race condition)。
另一個值得注意的漏洞是 CVE-2024-38173(CVSS 評分:6.7),這是一個影響 Microsoft Outlook 的遠端程式碼執行漏洞,但攻擊者必須想辦法讓受害者在本地端電腦上執行惡意程式碼才能成功。
該漏洞是由網路安全公司 Morphisec 今年 6 月發現並通報的此漏洞的,該公司表示,該漏洞與 CVE-2024-30103 相似,是一個「免點擊」(zero-click)漏洞,完全不需要使用者在啟用了微軟自動開啟郵件功能的系統上進行互動,就可以發動漏洞攻擊。
事實上在微軟發布這次更新之前,包括 Adobe、AMD、Apple、Cisco、Fortinet、Google、HP、IBM、Intel、Nvidia 及趨勢科技等眾多廠商早在過去幾週陸續發布可以修復其中許多漏洞的安全更新。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
