【漏洞通告】微軟8月多個安全漏洞

發布時間 2024-08-14


一、漏洞概述

2024年8月14日,啟明星辰集團VSRC監測到微軟發布了8月安全更新,本次更新共修復了89個漏洞(不包括本月早些時候披露的 Microsoft Edge 漏洞),漏洞類型包括特權提升漏洞、安全功能繞過漏洞、遠程代碼執行漏洞、信息泄露漏洞、拒絕服務漏洞和欺騙漏洞等。

本次安全更新中包括10個0 day漏洞,其中6個被積極利用,4個已經公開披露:

CVE-2024-38178:Scripting Engine內存損壞漏洞

Windows腳本引擎中存在類型混淆漏洞,該漏洞的CVSS評分為7.5,可通過誘導目標用戶點擊特制URL來利用該漏洞(該惡意鏈接需在Internet Explorer 模式下的 Microsoft Edge中觸發),成功利用可能導致遠程代碼執行,目前該漏洞已檢測到漏洞利用。

CVE-2024-38193:Windows Ancillary Function Driver for WinSock特權提升漏洞

Windows Ancillary Function Driver for WinSock中存在Use-After-Free漏洞,該漏洞的CVSS評分為7.8,成功利用該漏洞可將權限提升為SYSTEM 權限,目前該漏洞已檢測到漏洞利用。

CVE-2024-38213:Windows Mark of the Web 安全功能繞過漏洞

Windows Mark of the Web 中存在安全功能繞過漏洞,該漏洞的CVSS評分為6.5,威脅者可通過向目標用戶發送惡意文件并誘使用戶打開來利用該漏洞,成功利用可能導致繞過SmartScreen威脅防護,目前該漏洞已檢測到漏洞利用。

CVE-2024-38106:Windows Kernel特權提升漏洞

Windows內核存在權限提升漏洞,該漏洞的CVSS評分為7.0,成功利用該漏洞可以獲得SYSTEM 權限,但需要贏得競爭條件,目前該漏洞已檢測到漏洞利用。

CVE-2024-38107:Windows Power Dependency Coordinator 特權提升漏洞

Windows 電源依賴性協調器中存在Use-After-Free漏洞,該漏洞的CVSS評分為7.8,成功利用該漏洞可將權限提升為SYSTEM 權限,目前該漏洞已檢測到漏洞利用。

CVE-2024-38189:Microsoft Project 遠程代碼執行漏洞

Microsoft Project中存在輸入驗證不當,該漏洞的CVSS評分為8.8,可通過誘導受害者在系統上打開惡意的 Microsoft Office Project 文件(如通過惡意電子郵件、Web網站或即時消息等),但需要該系統中的“阻止從互聯網獲取的Office文件中運行宏”策略已被禁用,并且未啟用“VBA宏通知設置”,成功利用可能導致遠程代碼執行,目前該漏洞已檢測到漏洞利用。

CVE-2024-38199:Windows Line Printer Daemon (LPD) Service遠程代碼執行漏洞

Windows行式打印機守護程序 (LPD) 服務中存在Use-After-Free漏洞,該漏洞的CVSS評分為9.8,未經身份驗證的威脅者可以通過網絡向共享的易受攻擊的Windows Line Printer Daemon (LPD) 服務發送特制的打印任務,成功利用可能在服務器上導致遠程代碼執行。目前該漏洞已經公開披露,微軟的可利用性評估為 “被利用的可能性較小”。 微軟建議用戶不要安裝或啟用Windows Line Printer Daemon (LPD) 服務,默認情況下系統上未安裝或啟用 LPD,自Windows Server 2012 起,LPD 已宣布棄用。

CVE-2024-21302:Windows Secure Kernel Mode特權提升漏洞

Microsoft支持 Virtualization Based Security (VBS)的 多個Windows 系統(包括 Azure 虛擬機 SKUS 的子集)中存在特權提升漏洞,成功利用可獲得 SYSTEM 權限,該漏洞的CVSS評分為6.7,可能導致具有管理員權限的威脅者能夠將當前版本的 Windows 系統文件替換為過時版本。通過利用該漏洞,威脅者可以重新引入之前已修復/緩解的漏洞、繞過VBS安全功能并竊取受VBS 保護的數據(Windows Downdate 降級攻擊)。目前該漏洞已經公開披露,微軟的可利用性評估為 “被利用的可能性較小”。

CVE-2024-38202:Windows Update Stack特權提升漏洞

Windows Update 中存在特權提升漏洞,成功利用可獲得 SYSTEM 權限,該漏洞的CVSS評分為7.3, 可能導致具有基本用戶權限的威脅者能夠重新引入之前已修復/緩解的漏洞或繞過VBS 的某些功能(Windows Downdate 降級攻擊),成功利用該漏洞需要誘導管理員或具有委派權限的用戶執行系統還原,從而觸發該漏洞。目前該漏洞已經公開披露,微軟的可利用性評估為 “被利用的可能性較小”。微軟正在開發安全更新來緩解該漏洞,但目前尚未發布。

CVE-2024-38200:Microsoft Office 欺騙漏洞

Microsoft Office中存在信息泄露漏洞,該漏洞的CVSS評分為6.5,威脅者可通過誘導用戶點擊惡意鏈接(如通過電子郵件或即時通訊消息)并打開特制文件(托管在惡意網站上)來利用該漏洞,然后迫使 Office 建立與遠程共享的出站連接,從中竊取發送的 NTLM 哈希,導致敏感信息泄露??赏ㄟ^將用戶添加到受保護用戶安全組,以防止使用 NTLM 作為身份驗證機制,或使用外圍防火墻、本地防火墻和 VPN 設置阻止 TCP 445/SMB 從網絡出站(這將阻止向遠程文件共享發送 NTLM 身份驗證消息)來緩解該漏洞。目前該漏洞已經公開披露,微軟的可利用性評估為 “被利用的可能性較小”。

本次安全更新中修復的9個嚴重漏洞為:

l  CVE-2024-38063:Windows TCP/IP 遠程代碼執行漏洞

Windows TCP/IP中存在整數下溢漏洞,該漏洞的CVSS評分為9.8,未經身份驗證的威脅者可向 Windows 計算機反復發送包含特制數據包的 IPv6 數據包,成功利用可能導致遠程代碼執行。如果目標計算機上禁用 IPv6,系統不會受到影響。微軟的可利用性評估為 “被利用的可能性較高”。

l  CVE-2024-38160:Windows Network Virtualization遠程代碼執行漏洞

Windows 網絡虛擬化存在堆緩沖區溢出漏洞,該漏洞的CVSS評分為9.1,威脅者可以利用 Windows Server 2016 的 wnv.sys 組件中未經檢查的返回值來利用該漏洞,通過操縱內存描述符列表 (MDL) 的內容,可能導致未經授權的內存寫入,甚至釋放當前正在使用的有效塊,從而導致客戶機到主機逃逸,微軟的可利用性評估為 “被利用的可能性較小”。

l  CVE-2024-38159:Windows Network Virtualization遠程代碼執行漏洞

Windows 網絡虛擬化存在Use-After-Free漏洞,該漏洞的CVSS評分為9.1,威脅者可以利用 Windows Server 2016 的 wnv.sys 組件中未經檢查的返回值來利用該漏洞,通過操縱內存描述符列表 (MDL) 的內容,可能導致未經授權的內存寫入,甚至釋放當前正在使用的有效塊,從而導致客戶機到主機逃逸,微軟的可利用性評估為 “被利用的可能性較小”。

l  CVE-2024-38140:Windows Reliable Multicast Transport Driver (RMCAST) 遠程代碼執行漏洞

Windows 可靠多播傳輸驅動程序 (RMCAST) 存在Use-After-Free漏洞,該漏洞的CVSS評分為9.8,未經身份驗證的威脅者可以通過向服務器上的 Windows Pragmatic General Multicast (PGM) 開放套接字發送特制的數據包來利用該漏洞,成功利用可能導致遠程代碼執行。該漏洞僅在有程序監聽PGM端口的情況下才可被利用,如果PGM已安裝或啟用,但沒有程序作為接收器主動監聽,則該漏洞不可被利用。不建議將 PGM 接收器暴露在公共互聯網上,微軟的可利用性評估為 “被利用的可能性較小”。

l  CVE-2024-38109:Azure Health Bot 特權提升漏洞

l  CVE-2024-38206:Microsoft Copilot Studio 信息泄露漏洞

l  CVE-2024-38166:Microsoft Dynamics 365 跨站腳本漏洞

l  CVE-2022-3775:Redhat-CVE-2022-3775 grub2 - 渲染某些 Unicode 序列時基于堆的越界寫入

l  CVE-2023-40547:Redhat:CVE-2023-40547 Shim - HTTP 啟動支持中的 RCE 可能導致安全啟動繞過

除CVE-2024-38063外,微軟的可利用性評估中其他“被利用的可能性較高”的漏洞還包括:

l  CVE-2024-38133:Windows 內核特權提升漏洞

l  CVE-2024-38148:Windows Secure Channel拒絕服務漏洞

l  CVE-2024-38163:Windows Update Stack特權提升漏洞

l  CVE-2024-38198:Windows Print Spooler特權提升漏洞

l  CVE-2024-38196:Windows Common Log File System Driver特權提升漏洞

l  CVE-2024-38141:Windows Ancillary Function Driver for WinSock特權提升漏洞

l  CVE-2024-38125/ CVE-2024-38144:Kernel Streaming WOW Thunk Service Driver特權提升漏洞

l  CVE-2024-38147/ CVE-2024-38150:Microsoft DWM Core Library特權提升漏洞

微軟8月更新涉及的部分漏洞列表如下,其中不包含Chrome分發的9個Microsoft Edge (Chromium-based)漏洞:

CVE ID

CVE 標題

嚴重性

CVE-2024-38109

Azure   Health Bot 特權提升漏洞

嚴重

CVE-2024-38206

Microsoft   Copilot Studio 信息泄露漏洞

嚴重

CVE-2024-38166

Microsoft   Dynamics 365 跨站腳本漏洞

嚴重

CVE-2024-38140

Windows   Reliable Multicast Transport Driver (RMCAST) 遠程代碼執行漏洞

嚴重

CVE-2024-38160

Windows   Network Virtualization遠程代碼執行漏洞

嚴重

CVE-2024-38159

Windows   Network Virtualization遠程代碼執行漏洞

嚴重

CVE-2022-3775

Redhat:CVE-2022-3775 grub2 - 渲染某些 Unicode 序列時基于堆的越界寫入

嚴重

CVE-2023-40547

Redhat:CVE-2023-40547 Shim - HTTP 啟動支持中的 RCE 可能導致安全啟動繞過

嚴重

CVE-2024-38063

Windows   TCP/IP 遠程代碼執行漏洞

嚴重

CVE-2024-38168

.NET 和 Visual Studio 拒絕服務漏洞

高危

CVE-2024-38167

.NET 和 Visual Studio 信息泄露漏洞

高危

CVE-2024-38162

Azure   Connected Machine Agent 特權提升漏洞

高危

CVE-2024-38098

Azure   Connected Machine Agent 特權提升漏洞

高危

CVE-2024-38195

Azure   CycleCloud 遠程代碼執行漏洞

高危

CVE-2024-38158

Azure IoT   SDK 遠程代碼執行漏洞

高危

CVE-2024-38157

Azure IoT   SDK 遠程代碼執行漏洞

高危

CVE-2024-38108

Azure   Stack Hub 欺騙漏洞

高危

CVE-2024-38201

Azure   Stack Hub 特權提升漏洞

高危

CVE-2024-38199

Windows   Line Printer Daemon (LPD) Service遠程代碼執行漏洞

高危

CVE-2024-38123

Windows 藍牙驅動程序信息泄露漏洞

高危

CVE-2024-38211

Microsoft   Dynamics 365(on-premises)跨站點腳本漏洞

高危

CVE-2024-38218

Microsoft   Edge(基于 HTML)內存損壞漏洞

高危

CVE-2024-38118

Microsoft   Local Security Authority (LSA) Server 信息泄露漏洞

高危

CVE-2024-38122

Microsoft   Local Security Authority (LSA) Server 信息泄露漏洞

高危

CVE-2024-38200

Microsoft   Office 欺騙漏洞

高危

CVE-2024-38084

Microsoft   OfficePlus 特權提升漏洞

高危

CVE-2024-38172

Microsoft   Excel 遠程代碼執行漏洞

高危

CVE-2024-38170

Microsoft   Excel 遠程代碼執行漏洞

高危

CVE-2024-38173

Microsoft   Outlook 遠程代碼執行漏洞

高危

CVE-2024-38171

Microsoft   PowerPoint 遠程代碼執行漏洞

高危

CVE-2024-38189

Microsoft   Project 遠程代碼執行漏洞

高危

CVE-2024-38169

Microsoft   Office Visio 遠程代碼執行漏洞

高危

CVE-2024-38134

Kernel   Streaming WOW Thunk Service Driver 特權提升漏洞

高危

CVE-2024-38144

Kernel   Streaming WOW Thunk Service Driver 特權提升漏洞

高危

CVE-2024-38125

Kernel   Streaming WOW Thunk Service Driver 特權提升漏洞

高危

CVE-2024-38197

Microsoft   Teams for iOS 欺騙漏洞

高危

CVE-2024-38152

Windows   OLE 遠程代碼執行漏洞

高危

CVE-2024-37968

Windows   DNS 欺騙漏洞

高危

CVE-2024-38141

Windows   Ancillary Function Driver for WinSock 特權提升漏洞

高危

CVE-2024-38193

Windows   Ancillary Function Driver for WinSock 特權提升漏洞

高危

CVE-2024-38177

Windows   App Installer 欺騙漏洞

高危

CVE-2024-38131

Clipboard   Virtual Channel Extension 遠程代碼執行漏洞

高危

CVE-2024-38215

Windows   Cloud Files Mini Filter 驅動程序特權提升漏洞

高危

CVE-2024-38196

Windows 通用日志文件系統驅動程序特權提升漏洞

高危

CVE-2024-38165

Windows 壓縮文件夾篡改漏洞

高危

CVE-2024-38138

Windows 部署服務遠程代碼執行漏洞

高危

CVE-2024-38150

Windows   DWM 核心庫特權提升漏洞

高危

CVE-2024-38147

Microsoft   DWM 核心庫特權提升漏洞

高危

CVE-2024-38223

Windows   Initial Machine Configuration 特權提升漏洞

高危

CVE-2024-38114

Windows IP   路由管理單元遠程代碼執行漏洞

高危

CVE-2024-38116

Windows IP   路由管理單元遠程代碼執行漏洞

高危

CVE-2024-38115

Windows IP   路由管理單元遠程代碼執行漏洞

高危

CVE-2024-29995

Windows   Kerberos 特權提升漏洞

高危

CVE-2024-38151

Windows 內核信息泄露漏洞

高危

CVE-2024-38133

Windows 內核特權提升漏洞

高危

CVE-2024-38127

Windows   Hyper-V 特權提升漏洞

高危

CVE-2024-38153

Windows 內核特權提升漏洞

高危

CVE-2024-38106

Windows 內核特權提升漏洞

高危

CVE-2024-38187

Windows 內核模式驅動程序特權提升漏洞

高危

CVE-2024-38191

內核流服務驅動程序特權提升漏洞

高危

CVE-2024-38184

Windows 內核模式驅動程序特權提升漏洞

高危

CVE-2024-38186

Windows 內核模式驅動程序特權提升漏洞

高危

CVE-2024-38185

Windows 內核模式驅動程序特權提升漏洞

高危

CVE-2024-38146

Windows   Layer-2 Bridge Network Driver 拒絕服務漏洞

高危

CVE-2024-38145

Windows   Layer-3 Bridge Network Driver 拒絕服務漏洞

高危

CVE-2024-38161

Windows   Mobile Broadband Driver 遠程代碼執行漏洞

高危

CVE-2024-38132

Windows 網絡地址轉換 (NAT) 拒絕服務漏洞

高危

CVE-2024-38126

Windows 網絡地址轉換 (NAT) 拒絕服務漏洞

高危

CVE-2024-38135

Windows 彈性文件系統 (ReFS) 特權提升漏洞

高危

CVE-2024-38117

NTFS 特權提升漏洞

高危

CVE-2024-38107

Windows   Power Dependency Coordinator 特權提升漏洞

高危

CVE-2024-38198

Windows   Print Spooler 特權提升漏洞

高危

CVE-2024-38137

Windows   Resource Manager PSM Service Extension 特權提升漏洞

高危

CVE-2024-38136

Windows   Resource Manager PSM Service Extension 特權提升漏洞

高危

CVE-2024-38130

Windows 路由和遠程訪問服務 (RRAS) 遠程代碼執行漏洞

高危

CVE-2024-38128

Windows 路由和遠程訪問服務 (RRAS) 遠程代碼執行漏洞

高危

CVE-2024-38154

Windows 路由和遠程訪問服務 (RRAS) 遠程代碼執行漏洞

高危

CVE-2024-38121

Windows 路由和遠程訪問服務 (RRAS) 遠程代碼執行漏洞

高危

CVE-2024-38214

Windows 路由和遠程訪問服務 (RRAS) 信息泄露漏洞

高危

CVE-2024-38120

Windows 路由和遠程訪問服務 (RRAS) 遠程代碼執行漏洞

高危

CVE-2024-38178

Scripting   Engine 內存損壞漏洞

高危

CVE-2022-2601

Redhat:CVE-2022-2601 grub2 - grub_font_construct_glyph() 中的緩沖區溢出可能導致越界寫入并可能繞過安全啟動

高危

CVE-2024-21302

Windows 安全內核模式特權提升漏洞

高危

CVE-2024-38142

Windows 安全內核模式特權提升漏洞

高危

CVE-2024-38155

Security   Center Broker 信息泄露漏洞

高危

CVE-2024-38180

Windows   SmartScreen 安全功能繞過漏洞

高危

CVE-2024-38148

Windows   Secure Channel 拒絕服務漏洞

高危

CVE-2024-38202

Windows   Update Stack 特權提升漏洞

高危

CVE-2024-38163

Windows   Update Stack 特權提升漏洞

高危

CVE-2024-38143

Windows   WLAN AutoConfig 服務特權提升漏洞

高危

CVE-2024-38213

Windows   Mark of the Web 安全功能繞過漏洞

中危

CVE-2024-38219

Microsoft   Edge(基于 Chromium)遠程代碼執行漏洞

中危

CVE-2024-38222

Microsoft   Edge(基于 Chromium)信息泄露漏洞

未知

 

二、影響范圍

受影響的產品/功能/服務/組件包括:

Windows Secure Kernel Mode

Windows Kerberos

Microsoft Windows DNS

Windows TCP/IP

Microsoft Office

Azure Connected Machine Agent

Windows Kernel

Windows Power Dependency Coordinator

Azure Stack

Azure Health Bot

Windows IP Routing Management Snapin

Windows NTFS

Microsoft Local Security Authority Server (lsasrv)

Windows Routing and Remote Access Service (RRAS)

Microsoft Bluetooth Driver

Microsoft Streaming Service

Windows Network Address Translation (NAT)

Windows Clipboard Virtual Channel Extension

Windows NT OS Kernel

Windows Resource Manager

Windows Deployment Services

Reliable Multicast Transport Driver (RMCAST)

Windows Ancillary Function Driver for WinSock

Windows WLAN Auto Config Service

Windows Layer-2 Bridge Network Driver

Windows DWM Core Library

Windows Transport Security Layer (TLS)

Microsoft WDAC OLE DB provider for SQL

Windows Security Center

Azure IoT SDK

Windows Network Virtualization

Windows Mobile Broadband

Windows Update Stack

Windows Compressed Folder

Microsoft Dynamics

.NET and Visual Studio

Microsoft Office Visio

Microsoft Office Excel

Microsoft Office PowerPoint

Microsoft Office Outlook

Windows App Installer

Windows Scripting

Windows SmartScreen

Windows Kernel-Mode Drivers

Microsoft Office Project

Azure CycleCloud

Windows Common Log File System Driver

Microsoft Teams

Windows Print Spooler Components

Line Printer Daemon Service (LPD)

Microsoft Copilot Studio

Windows Mark of the Web (MOTW)

Windows Cloud Files Mini Filter Driver

Microsoft Edge (Chromium-based)

Windows Initial Machine Configuration

 

三、安全措施

3.1 升級版本

目前微軟已發布相關安全更新,建議受影響的用戶盡快修復。

(一) Windows Update自動更新

Microsoft Update默認啟用,當系統檢測到可用更新時,將會自動下載更新并在下一次啟動時安裝。也可選擇通過以下步驟手動進行更新:

1、點擊“開始菜單”或按Windows快捷鍵,點擊進入“設置”

2、選擇“更新和安全”,進入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入“Windows更新”,具體步驟為“控制面板”->“系統和安全”->“Windows更新”)

3、選擇“檢查更新”,等待系統自動檢查并下載可用更新。

4、更新完成后重啟計算機,可通過進入“Windows更新”->“查看更新歷史記錄”查看是否成功安裝了更新。對于沒有成功安裝的更新,可以點擊該更新名稱進入微軟官方更新描述鏈接,點擊最新的SSU名稱并在新鏈接中點擊“Microsoft 更新目錄”,然后在新鏈接中選擇適用于目標系統的補丁進行下載并安裝。

(二) 手動安裝更新

Microsoft官方下載相應補丁進行更新。

2024年8月安全更新下載鏈接:

https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug

補丁下載示例(參考):

1.打開上述下載鏈接,點擊漏洞列表中要修復的CVE鏈接。

image.png

例1:微軟漏洞列表(示例)

2.在微軟公告頁面底部左側【產品】選擇相應的系統類型,點擊右側【下載】處打開補丁下載鏈接。

image.png

例2:CVE-2022-21989補丁下載示例

3.點擊【安全更新】,打開補丁下載頁面,下載相應補丁并進行安裝。

image.png

例3:補丁下載界面

4.安裝完成后重啟計算機。

3.2 臨時措施

暫無。

3.3 通用建議

l  定期更新系統補丁,減少系統漏洞,提升服務器的安全性。

l  加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。

l  使用企業級安全產品,提升企業的網絡安全性能。

l  加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。

l  啟用強密碼策略并設置為定期修改。

3.4 參考鏈接

https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-38063

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-38202

 

四、版本信息

版本

日期

備注

V1.0

2024-08-14

首次發布

 

五、附錄

5.1 公司簡介

啟明星辰成立于1996年,是由留美博士嚴望佳女士創建的、擁有完全自主知識產權的信息安全高科技企業。是國內最具實力的信息安全產品、安全服務解決方案的領航企業之一。

公司總部位于北京市中關村軟件園啟明星辰大廈,公司員工6000余人,研發團隊1200余人, 技術服務團隊1300余人。在全國各省、市、自治區設立分支機構六十多個,擁有覆蓋全國的銷售體系、渠道體系和技術支持體系。公司于2010年6月23日在深圳中小板掛牌上市。(股票代碼:002439)

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

5.2 關于我們

啟明星辰安全應急響應中心已發布1000多個漏洞通告和風險預警,我們將持續跟蹤全球最新的網絡安全事件和漏洞,為企業的信息安全保駕護航。

關注我們:

image.png