微軟近日修補四個影響其AI、雲端、ERP和合作夥伴中心的資安漏洞,其中一個已遭駭客積極利用。
被標記為「已遭利用」的漏洞為 CVE-2024-49035(CVSS 評分 8.7),這是一個存在於 partner.microsoft.com 的權限提升漏洞。微軟在本週發布的公告中表示,「partner.microsoft.com 存在不當的存取控制漏洞,允許未經認證的攻擊者透過網路提升權限。」
該漏洞由研究人員 Gautam Peri、Apoorv Wadhwa 以及一位匿名研究員回報。不過微軟並未透露此漏洞在真實攻擊中是如何被利用的細節。
這些安全性更新將透過 Microsoft Power Apps 的線上版本自動推送。除了上述漏洞外,微軟還修補了三個漏洞,其中兩個被評為「重大」等級,一個被評為「重要」等級:
- CVE-2024-49038(CVSS 評分 9.3):Copilot Studio 中的跨站腳本(XSS)漏洞,可能允許未授權攻擊者透過網路提升權限。
- CVE-2024-49052(CVSS 評分 8.2):Microsoft Azure PolicyWatch 中缺少關鍵功能驗證的漏洞,可能允許未授權攻擊者透過網路提升權限。
- CVE-2024-49053(CVSS 評分 7.6):Microsoft Dynamics 365 Sales 中的欺騙漏洞,可能允許已認證的攻擊者誘使使用者點擊特製的 URL,並可能將受害者重新導向至惡意網站。
雖然大多數漏洞已經完全修補且不需要使用者採取行動,但
建議使用者將 Android 和 iOS 版本的 Dynamics 365 Sales 應用程式更新至最新版本(3.24104.15),以防範 CVE-2024-49053 漏洞。
本文轉載自thehackernews。