在2024年10月的 Patch Tuesday 中,
微軟發布了117個安全性漏洞的修補程式。其中,
有兩個漏洞正被積極利用,需要立即關注:
- CVE-2024-43573:影響 Windows MSHTML 平台的欺騙漏洞
- CVE-2024-43572:微軟管理主控台(MMC)中的遠端程式碼執行漏洞
目前遭積極利用的漏洞
首先是 CVE-2024-43573:MSHTML 中的一個欺騙漏洞。MSHTML 是 Internet Explorer 的 Trident 舊版瀏覽引擎,微軟為了保持向後相容性而在現代版本中保留。這個漏洞與微軟在七月和九月分別披露的 CVE-2024-38112 和 CVE-2024-43461 相似,均曾被 Void Banshee 組織積極利用。
趨勢科技零日漏洞計畫(Zero Day Initiative)的研究人員在一篇部落格文章中警告,組織不應因微軟將 CVE-2024-43573 評為「中等嚴重性」而忽視此漏洞。他們強調,無論評級如何,都不應輕視這個威脅,並呼籲儘快測試及部署更新。
CVE-2024-43572是微軟管理主控台中的遠端程式碼執行漏洞。攻擊者可透過誘使使用者載入惡意的 MMC 嵌入式管理單元檔案來觸發此漏洞。微軟雖未透露攻擊規模,但利用此漏洞需要大量社交工程。安裝微軟提供的安全性更新可防止未受信任的 Microsoft Saved Console(MSC)檔案被開啟,從而阻止攻擊。
雖然 CVE-2024-43572 的具體利用細節尚不明確,但此修補程式出現在研究人員披露 GrimResource 攻擊技術的幾個月後。GrimResource 巧妙地結合了一個舊的跨站腳本(XSS)漏洞和特製的 MSC 檔案,藉此獲得程式碼執行權限。
已公開但尚未被利用的漏洞
微軟在十月安全性更新中披露了三個零日漏洞,目前尚未遭攻擊者利用:
- CVE-2024-6197:開源 cURL 命令列工具中的遠端程式碼執行漏洞
- CVE-2024-20659:Windows Hyper-V 中的中等嚴重性安全性繞過漏洞
- CVE-2024-43583:WinLogon 權限提升漏洞
其他需關注的重要漏洞
微軟還修補了三個已公開但尚未被積極利用的漏洞,分別位於 cURL、Windows Hyper-V 和 WinLogon。其中,WinLogon 漏洞最有可能被利用,攻擊者可藉此在受感染的系統上獲得 SYSTEM 權限。
資安人員特別提醒,應密切關注兩個可透過發送特製請求或格式錯誤封包來遠程觸發的漏洞:CVE-2024-43468(微軟 Configuration Manager 中的漏洞)和 CVE-2024-43582(遠端桌面協定 RDP 伺服器中的漏洞)。這兩個漏洞都可能導致遠端程式碼執行,具有高度危險性。
CVE-2024-43488是 Visual Studio Code 的 Arduino 擴充功能中的一個嚴重遠端程式碼執行漏洞。然而,由於該擴充功能已被棄用,微軟不會提供修復措施。
本文轉載自 DarkReading、HelpNetSecurity。