微软通过相对较轻的1月份安全更新让企业安全团队轻松进入2024年,该更新包含48个独特CVE的补丁,其中只有两个被该公司认定为严重严重。
微软的补丁星期二连续第二个月没有包含任何零日漏洞,这意味着管理员不必应对攻击者目前正在积极利用的任何新漏洞,这种情况在2023年经常发生。
只有两个严重错误
与通常情况一样,微软1月9日披露的CVE影响了其广泛的产品,包括权限升级漏洞、远程代码执行漏洞、安全绕过漏洞和其他漏洞。该公司将其中46个缺陷归类为“重要”严重性,其中包括攻击者更有可能利用的几个缺陷。
Microsoft最新更新中的两个严重严重错误之一是CVE-2024-20674,这是一个WindowsKerberos安全功能绕过漏洞,允许攻击者绕过身份验证机制并发起模拟攻击。攻击者可以通过中间机(MitM)攻击来利用此缺陷。他们通过设置本地网络欺骗场景,然后发送恶意Kerberos消息来欺骗客户端计算机,使其相信它们正在与合法的Kerberos身份验证服务器进行通信,从而实现这一目标。
该漏洞要求攻击者能够访问与目标相同的本地网络。它无法通过互联网进行远程利用,并且需要接近内部网络。即便如此,在不久的将来,很可能会出现积极的利用尝试。
此类攻击媒介对于勒索软件运营商和访问代理等威胁行为者来说始终很有价值,因为它们可以对企业网络进行大量访问。
微软最新一批安全更新中的另一个严重漏洞是CVE-2024-20700,这是Windows超虚拟化技术中的远程代码执行漏洞。该漏洞并不是特别容易被利用,因为要做到这一点,攻击者首先需要进入网络内部并与易受攻击的计算机相邻。
该漏洞还涉及竞争条件,这种问题比许多其他漏洞类型更难被攻击者利用。该漏洞已被发布,因为利用该漏洞的可能性较小,但由于Hyper-V在计算机中以最高权限运行,因此值得考虑修补。
高优先级远程代码执行错误
安全研究人员指出1月份更新中的另外两个RCE错误值得优先关注:Windows远程桌面客户端中的CVE-2024-21307和SharePointServer中的CVE-2024-21318。
微软将CVE-2024-21307确定为攻击者更有可能利用的漏洞,但几乎没有提供原因信息。未经授权的攻击者需要等待用户发起连接才能利用该漏洞。
这意味着攻击者必须创建恶意RDP服务器并使用社会工程技术来诱骗用户进行连接。这并不像听起来那么困难,因为攻击者相对容易设置恶意RDP服务器,然后在电子邮件中发送.rdp附件意味着用户只需打开附件即可触发漏洞。
一些更可利用的权限升级错误
微软一月份的更新包括针对多个权限升级漏洞的补丁。其中最严重的是CVE-2023-21310,这是Windows Cloud Files MiniFilter Driver中的一个权限升级错误。该缺陷与CVE-2023-36036非常相似,CVE-2023-36036是微软在2023年11月安全更新中披露的同一技术中的零日特权升级漏洞。
攻击者积极利用该缺陷来尝试获取本地计算机上的系统级权限,他们也可以利用新披露的漏洞来做到这一点。威胁行为者在网络攻击中经常看到这种类型的特权升级步骤。它可以使攻击者禁用安全工具或运行Mimikatz等凭证转储工具,从而实现横向移动或入侵域帐户。
其他一些重要的权限提升错误包括Windows通用日志文件系统中的CVE-2024-20653、Windows内核中的CVE-2024-20698、Win32k中的CVE-2024-20683以及Win32k中的CVE-2024-20686。微软已将所有这些缺陷列为攻击者更有可能利用的问题。“这些错误通常被用作攻击后活动的一部分,也就是说,一旦攻击者在系统上获得了初步立足点。
CVE-2024-0056是微软认为重要但需要快速关注的缺陷之一,它是SQL中的安全绕过功能。该缺陷使攻击者能够执行中间机攻击,拦截并可能改变客户端和服务器之间的TLS流量。如果被利用,攻击者可以解密、读取或修改安全TLS流量,从而破坏数据的机密性和完整性。攻击者还可以利用该缺陷通过SQL数据提供程序来利用SQL Server。
