聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
CVE-2024-20674是位于 Windows Kerberos 中的一个安全特性绕过漏洞,它是本月修复的CVSS评分最高的漏洞,也是仅有的2个严重漏洞之一。该漏洞可导致未认证攻击者执行中间人攻击,欺骗 Kerberos 服务器。受影响客户端将从 Kerberos 认证服务器中收到被认为是真实的信息。虽然需要进行一些设置,但微软确实给予它可利用性最高的评级,意味着微软认为公开利用代码将在30天内出现。因此用户应迅速测试并部署该更新。
CVE-2024-20700是一个 Windows Hyper-V 远程代码执行漏洞。这是1月份修复的第二个“严重”级别漏洞。尽管在这里“远程”实际是指网络邻近。除此以外,微软并未提供更多说明,因此目前尚不清楚代码执行是如何发生的。不过,微软提到无需认证或用户交互,因此该漏洞对于利用作者而言非常有价值。尽管成功利用该漏洞要求获得竞争条件,但我们已经看到很多 Pwn2Own 的获胜者在利用中使用了竞争条件。
CVE-2024-0056是位于Microsoft.Data.SqlClient 和 System.Data.SqlClient SQL数据提供商中的安全特性绕过漏洞。虽然名称很长,但该漏洞可导致中间人攻击者解密、读取或修改受影响客户端和服务器之间的 TLS 流量。用户应采取额外措施获得完整防护。微软在公告中列出了完全修复该漏洞所需的其它 NuGet 包,另外还给出了管理员应采取的其它防护措施链接(https://github.com/dotnet/announcements/issues/292)。
在余下的代码执行漏洞中,多数需要攻击者说服用户打开一份恶意文件或浏览特殊构造的网站来执行任意代码。然而,也有一两个修复方案脱颖而出。第一个是位于Office 中经由FSB文件执行的一个 RCE 漏洞。微软采取了不寻常的修复方案,要求禁止在 Office 文档中内嵌文件类型。然而,微软提到“此前从 FBX 文件中插入的Office 文档中的 3D 模型将持续按预期运行,除非在插入时间时选择了‘链接到文件’的选项”。微软提到,如果已经安装了 KB5034510 中提到的工具,则可能不需要应用 Printer Metadata Troubleshooter 的修复方案。RDP 中的RCE漏洞已经拥有修复方案,不过位于客户端而非服务器中,这样做大大减少了利用威胁。与Azure 有关的代码执行漏洞要求特定权限才能被执行。SharePoint 漏洞要求进行认证,不过位于 SharePoint 站点的任何人都有所需权限并可接管系统。ODBC 中的漏洞要求连接到一个恶意数据库。Libarchive 中的漏洞要求攻击者在目标系统上认证为 guest 用户。最后一个RCE 修复方案位于 OCSP 中,它要求认证用户被分配“管理在线响应器”的权限,而该权限一般为权限用户所保留。不过现在仍然值得审计确认哪些用户拥有该权限。
本月补丁星期二仅发布了10个提权补丁,其中只有一个要求攻击者在受影响系统上运行特殊构造的程序并可导致在以系统级别执行代码。这些漏洞类型通常可组合利用一个代码执行漏洞接管系统。不过位于 Virtual Hard Disk 中的漏洞是个例外,它可导致攻击者在处理内核中的“.vhdx”文件时提权。
本月还修复了11个信息泄露漏洞,其中多数可导致泄露包含未指定内存内容的信息。不过有两个值得注意的例外。第一个是位于LSASS 中的信息泄露漏洞,当受影响客户端连接到一个 AD Domain Controller 时,可导致攻击者获取网络机密信息。微软表示可通过嗅探网络中的流量或运行恶意脚本的方式实现这一目标。本文作者认为该漏洞的利用不会很多,不过它仍然不失为初次攻陷后的一种横向移动方法。TCP/IP 中的漏洞要求中间人攻击,不过成功利用可导致服务器上的其它会话泄露 IPsec 数据包中的未加密内容。
除上述提到的两个安全特性绕过补丁外,本月还发布了其它5个补丁。.NET Framework 和 Visual Studio 中的漏洞可导致攻击者不正确地验证 X.509 证书。这个漏洞类似于 Windows Server Key Distribution Service 中的漏洞。HVCI 中的漏洞只存在于某些Surface 设备中。该漏洞可错误地允许某些内核模式页面被标记为“读、写、执行 (RWX)”,即使启用了HVCI 也不例外。BitLocker 的绕过可导致攻击者绕过其防护措施。IE 浏览器也修复了可导致区域限制被绕过的漏洞。
虽然微软在本轮修复了6个DoS 漏洞,不过对于多数漏洞而言并未提供实际信息。Hyper-V 中的DoS 漏洞可导致 guest OS 从某种程度上影响位于同一个监控程序上的其它 guest OS。
最后,微软本月修复了4个欺骗漏洞。Nearby Sharing 特性可被拥有类似名称的机器触发,不过微软并未说明这些机器名称的相似度有多高。Azure Stack 中的漏洞要求攻击者点击特殊构造的URL,Themes 漏洞要求用户交互,不过微软提到可禁用NTLM 作为缓解措施。大家该不会真的使用NTLM吧?另外也可添加组策略来限制NTLM 流量流向远程服务器。Bluetooth 中的漏洞要求攻击者接近目标并拥有配对的Bluetooth 设备。
https://www.zerodayinitiative.com/blog/2024/1/9/the-january-2024-security-update-review
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~