在这些漏洞中，仅有3个被评级为“严重”，142个是“重要”级别，2个是“中危”级别。这是微软今年以来也是至少自2017年以来发布补丁最多的星期二。目前尚不清楚是否因工作囤积还是漏洞报送剧增造成的。

微软最初并未将这两个漏洞标记为“已遭活跃利用”，不过 Sophos 和 ZDI均分享了这些漏洞如何遭活跃利用的情况。

CVE-2024-26234是位于 Proxy 驱动中的欺骗漏洞。Sophos 公司表示，该漏洞是通过有效的“微软硬件发布者证书 (Microsoft Hardware Publisher Certificate)”签名的一个恶意驱动。该驱动用于部署此前由 Stairwell 披露的一个后门。

团队负责人 Christopher Budd 表示，此前报送给微软的驱动漏洞并未获得CVE漏洞但微软却发布了安全公告。目前尚不清楚为何微软今日未发布该驱动的CVE漏洞，除非是认为该驱动经过了上述有效证书的签名。

CVE-2024-29988是位于SmartScreen 中的提示安全特性绕过漏洞。该漏洞是对 CVE-2024-21412漏洞补丁的绕过，而后者也是对 CVE-2023-26025漏洞补丁的绕过。该漏洞可导致打开文件时，微软 Defender Smartscreen 提示遭绕过。威胁行动者以压缩包文件的格式发送利用，躲避EDR/NDR检测，之后组合利用其它漏洞绕过MotW。该漏洞被Water Hydra 黑客组织用于攻击 Forex 交易论坛和Telegram 股票交易的多个频道，牟取经济利益。

Varonis 公司的研究人员也发现了两个 SharePoint 0day 漏洞，从服务器中下载文件时这两个漏洞更难以被检测到。微软并未发布相关的CVE编号，只是增加到后续打补丁工作中，目前也并未公布修复日期。

CVE-2024-20678是RPC 运行时远程代码执行漏洞。RPC 利用在野出现历史悠久，因此任何可导致代码执行后果的RPC漏洞均会引人关注。该漏洞利用虽然需要认证但无需任何权限提升。任何认证用户均可利用它。目前尚不清楚如果认证为 Guest 或匿名用户是否会遭攻击。快速搜索后发现，TCP 端口为135的130万个系统被暴露到互联网。预计很多人会开始寻求该利用。

CVE-2024-20670是Outlook 欺骗漏洞。该漏洞虽然被列为欺骗漏洞，但基于利用结果来看，它是信息泄露漏洞。所泄露的信息是NTLM哈希，它后续可用于欺骗目标用户。不论如何，用户需要点击邮件中的内容触发该漏洞。预览面板并非攻击向量。然而，几个月来我们已经发现了不少NTLM中继漏洞。Outlook 的用户更多，因此未来几个月该漏洞可能会被利用。

CVE-2024-26221是Windows DNS Server 远程代码执行漏洞。该漏洞是本月修复的七个DNS RCE漏洞之一，且这些漏洞较为相似。如果攻击者具有查询DNS服务器的权限，则可导致在受影响DNS服务器上实现RCE。这里也有一个时机因素，但如果DNS查询时机合适，那么攻击者就能够在目标服务器上执行任意代码。尽管并未特别说明，但从逻辑上来看代码执行可能会发生在DNS服务层面，这是提升后的结果。众所周知DNS服务器是重点目标，因此必须严肃对待该漏洞并迅速部署补丁。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~