微軟發(fā)布了2025年最后一個(gè)補(bǔ)丁星期二更新,修復(fù)了71個(gè)新的通用漏洞和暴露(CVE)。其中一個(gè)零日漏洞通過(guò)Windows通用日志文件系統(tǒng)驅(qū)動(dòng)程序?qū)崿F(xiàn)特權(quán)提升,成為本次更新的焦點(diǎn)。
這個(gè)被分配為CVE-2024-49138的漏洞由CrowdStrike高級(jí)研究團(tuán)隊(duì)發(fā)現(xiàn),源于堆緩沖區(qū)溢出,攻擊者可以利用不當(dāng)?shù)倪吔鐧z查來(lái)覆蓋堆中的內(nèi)存。
攻擊者可以相對(duì)容易地利用這個(gè)漏洞執(zhí)行任意代碼并獲得系統(tǒng)級(jí)權(quán)限,從而進(jìn)行更深入和影響更大的攻擊,如勒索軟件。微軟表示已經(jīng)觀察到CVE-2024-49138在野外被利用。
補(bǔ)丁管理專家Action1的總裁兼聯(lián)合創(chuàng)始人Mike Walters解釋說(shuō):"CLFS驅(qū)動(dòng)程序是Windows的核心組件,應(yīng)用程序用它來(lái)寫(xiě)入事務(wù)日志。這個(gè)漏洞通過(guò)操縱驅(qū)動(dòng)程序的內(nèi)存管理,實(shí)現(xiàn)未經(jīng)授權(quán)的特權(quán)提升,最終獲得系統(tǒng)級(jí)訪問(wèn)權(quán)限 —— Windows中的最高權(quán)限。獲得系統(tǒng)權(quán)限的攻擊者可以執(zhí)行諸如禁用安全保護(hù)、竊取敏感數(shù)據(jù)或安裝持久性后門(mén)等操作。"
Walters解釋說(shuō),任何使用標(biāo)準(zhǔn)CLFS組件的Windows系統(tǒng)(可追溯到2008年)都容易受到這個(gè)漏洞的影響,如果不迅速解決,可能會(huì)在企業(yè)環(huán)境中造成潛在的麻煩。
Ivanti安全產(chǎn)品副總裁Chris Goettl表示:"已確認(rèn)該漏洞在野外被利用,并且有關(guān)漏洞的一些信息已公開(kāi)披露,但這些披露可能不包括代碼樣本。微軟將這個(gè)CVE評(píng)為重要,其CVSSv3.1評(píng)分為7.8。基于風(fēng)險(xiǎn)的優(yōu)先級(jí)會(huì)將這個(gè)漏洞評(píng)為嚴(yán)重,這使得本月的Windows操作系統(tǒng)更新成為你的首要任務(wù)。"
關(guān)鍵問(wèn)題
Zero Day Initiative的Dustin Childs觀察到,2024年微軟在12個(gè)月內(nèi)推出了1000多個(gè)漏洞修復(fù),是繼2020年之后第二高的數(shù)量。2024年12月的更新以16個(gè)嚴(yán)重漏洞的高數(shù)量而引人注目,這些漏洞無(wú)一例外都會(huì)導(dǎo)致遠(yuǎn)程代碼執(zhí)行(RCE)。
這些漏洞中,有9個(gè)影響Windows遠(yuǎn)程桌面服務(wù),3個(gè)存在于Windows輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP),2個(gè)在Windows消息隊(duì)列(MSMQ),以及各1個(gè)分別在Windows本地安全機(jī)構(gòu)子系統(tǒng)服務(wù)(LSASS)和Windows Hyper-V中。
其中,Windows LDAP中的CVE-2024-49112可能需要最密切關(guān)注,它的CVSS評(píng)分高達(dá)9.8,影響所有從Windows 7和Server 2008 R2以來(lái)的Windows版本。如果不解決,未經(jīng)身份驗(yàn)證的攻擊者可以在底層服務(wù)器上實(shí)現(xiàn)RCE。
LDAP通常在充當(dāng)Windows網(wǎng)絡(luò)中的域控制器的服務(wù)器上使用,為了使域正常運(yùn)行,需要將此功能暴露給環(huán)境中的其他服務(wù)器和客戶端。
Immersive Labs首席安全工程師Rob Reeves解釋道:"微軟表示攻擊復(fù)雜度較低,且不需要身份驗(yàn)證。此外,他們建議立即停止通過(guò)互聯(lián)網(wǎng)或不受信任的網(wǎng)絡(luò)暴露這項(xiàng)服務(wù)。攻擊者可以對(duì)LDAP服務(wù)進(jìn)行一系列精心設(shè)計(jì)的調(diào)用,并在該服務(wù)的上下文中獲得訪問(wèn)權(quán)限,該服務(wù)將以系統(tǒng)權(quán)限運(yùn)行。"
"由于機(jī)器帳戶的域控制器狀態(tài),評(píng)估認(rèn)為這將立即允許攻擊者獲取域內(nèi)所有憑證哈希的訪問(wèn)權(quán)限。還評(píng)估認(rèn)為,攻擊者只需在域內(nèi)的Windows主機(jī)上獲得低特權(quán)訪問(wèn)權(quán)限或在網(wǎng)絡(luò)中獲得立足點(diǎn),就可以利用這項(xiàng)服務(wù) —— 從而完全控制域。"
Reeves告訴《計(jì)算機(jī)周刊》,威脅行為者,特別是勒索軟件團(tuán)伙,將在未來(lái)幾天積極嘗試為這個(gè)漏洞開(kāi)發(fā)利用程序,因?yàn)樵贏ctive Directory環(huán)境中完全控制域控制器可以讓他們?cè)L問(wèn)該域上的每臺(tái)Windows機(jī)器。
他警告說(shuō):"使用帶有域控制器的Windows網(wǎng)絡(luò)的環(huán)境應(yīng)該緊急修補(bǔ)這個(gè)漏洞,并確保積極監(jiān)控域控制器是否有被利用的跡象。"
最后
最后,本月有一個(gè)鮮為人知的漏洞值得關(guān)注,那就是Microsoft Muzic中被追蹤為CVE-2024-49063的漏洞。
Ivanti的Goettl觀察到:"Microsoft Muzic AI項(xiàng)目很有趣。CVE-2024-49063是Microsoft Muzic中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。要解決這個(gè)問(wèn)題,開(kāi)發(fā)人員需要從GitHub獲取最新版本來(lái)更新他們的實(shí)現(xiàn)。"
這個(gè)漏洞源于不受信任數(shù)據(jù)的反序列化,如果攻擊者能夠創(chuàng)建惡意負(fù)載來(lái)執(zhí)行,就會(huì)導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
對(duì)于不熟悉這個(gè)項(xiàng)目的人來(lái)說(shuō),Microsoft Muzic是一個(gè)正在進(jìn)行的研究項(xiàng)目,旨在使用人工智能(AI)來(lái)理解和生成音樂(lè)。該項(xiàng)目的一些功能包括自動(dòng)歌詞轉(zhuǎn)錄、歌曲寫(xiě)作和歌詞生成、伴奏生成和歌聲合成。