9月10日微软发布本月份例行更新（Patch Tuesday），总共修补79个漏洞，较上个月略为减少。其中，有30个是权限提升漏洞、4个安全功能绕过漏洞、23个远程代码运行（RCE）漏洞、11个信息泄露漏洞、8个阻断服务（DoS）漏洞，以及3个可被用于诈欺的漏洞。值得留意的是，这次有4个是已出现实际攻击行动的零时差漏洞，其中1个的细节遭到公开。

这些漏洞分别是：Windows更新RCE漏洞CVE-2024-43491、MotW安全绕过漏洞CVE-2024-38217、Windows Installer权限提升漏洞CVE-2024-38014、排版软件Publisher安全功能绕过漏洞CVE-2024-38226，CVSS风险评为介于5.4至9.8分。

其中最受到研究人员关注的漏洞，是CVSS风险评分最高的CVE-2024-43491，资安业者Rapid7、漏洞悬赏项目Zero Day Initiative（ZDI）不约而同地首先提及这项漏洞，原因是让人不禁想起上个月资安业者SafeBreach揭露的Windows Downdate降级漏洞，但实际上两者之间并无直接关连。CVE-2024-43491存在特定的服务堆栈（Service Stack）更新套件，仅影响运行Windows 10 Enterprise 2015 LTSB、Windows 10 IoT Enterprise 2015 LTSB操作系统的电脑，一旦这些电脑部署今年3月发布的KB5035858，以及到8月之前的其他更新套件，就有可能导致选用组件被降级为RTM版本，使得攻击者能够再度利用已经修补的漏洞。

另一个相当值得关注的漏洞，则是同样在上个月由Elastic资安实验室揭露的CVE-2024-38217，当时研究人员提及，攻击者可使用名为LNK Stomping的攻击手法，通过文件总管（explorer.exe）处理进程窜改特定的LNK文件，从而在运行智能应用程式控制（Smart App Control，SAC）及SmartScreen扫描之前移除MotW标记。虽然这项漏洞的CVSS分数只有5.4，但研究人员根据恶意程序分析平台VirusTotal的数据，黑客很可能在2018年就开始利用相关漏洞。

至于另外两个零时差漏洞，微软指出CVE-2024-38014可被用于提升至SYSTEM权限；而CVE-2024-38226则是能绕过Office封锁恶意文件的巨集政策，但值得留意的是，攻击者必须通过身分验证，而且还要存取本机才能触发。

值得留意的是，ZDI提及于6月向微软通报MSHTML平台欺骗漏洞CVE-2024-43461，并表明攻击者已积极利用于实际攻击行动，但微软在公告当中并未提及此事。对此，ZDI呼吁IT人员也要特别留意，因为所有版本的Windows操作系统都会受到该漏洞影响。

而在零时差漏洞之余，Rapid7认为SharePoint重大层级漏洞CVE-2024-38018、CVE-2024-43464，以及NAT重大层级漏洞CVE-2024-38119，也需要关注，这些漏洞攻击者都有机会用于发动远程运行任意代码攻击。