微軟發布11月例行更新,修補4個零時差漏洞,其中2個已被用於實際攻擊
支付動態 · 2024-11-13

本週微軟發布11月份例行更新(Patch Tuesday),值得留意的是其中有4個是零時差漏洞,且有2個已出現實際攻擊行動,IT人員應儘速採取行動因應

11月12日微軟發布本月份例行更新(Patch Tuesday),總共修補89個漏洞,其中有26個權限提升漏洞、2個安全功能繞過漏洞、52個遠端程式碼執行(RCE)漏洞、1個資訊洩露漏洞、4個阻斷服務(DoS)漏洞,以及3個能被用於欺騙的漏洞。值得留意的是,本次有4個是零時差漏洞,其中2個已出現實際利用的狀況。

這些漏洞分別是:NTLM雜湊值洩露欺騙漏洞CVE-2024-43451、AD憑證服務(ADCS)權限提升漏洞CVE-2024-49019、Windows工作排程器權限提升漏洞CVE-2024-49039、Exchange伺服器欺騙漏洞CVE-2024-49040。其中,CVE-2024-43451、CVE-2024-49039已出現實際攻擊行動;再者,除CVE-2024-49039,其餘3個漏洞資訊皆已遭到公開。

上述零時差漏洞裡,同時被用於攻擊且細節已經公佈的是CVE-2024-43451,特別的是,微軟不僅指出所有視窗作業系統都受到影響,他們也提及這次將透過IE累積安全更新,針對Windows Server 2008及2012(含R2)修補這項漏洞。為何會提及早已停用的IE?原因是底層的MSHTML及指令碼平臺仍受到支援,他們將針對這兩種平臺進行修補。

針對這項弱點的型態,他們表示是檔案名稱或路徑的外部控制,CVSS風險評為6.5分,並指出根據評估,這項漏洞將有可能導致機密性完全喪失(C:H),但攻擊者利用的過程需要使用者互動(UI:R)。對於上述的評估內容,微軟進一步做出說明,表示一旦攻擊者成功利用漏洞,就有機會洩露NTLMv2雜湊值,並以受害者的名義進行身分驗證;而對於使用者互動的部分,他們則是提到使用者只要與攻擊者提供的惡意檔案進行極少的互動,像是執行點選或是進行檢查,無須開啟或是執行檔案就能觸發漏洞。

不過,對於此弱點的其他細節,微軟並未進一步說明。對此,資安業者Rapid7指出,微軟的CVSS風險評估主要是針對機密性層麵的影響,但若是考慮到攻擊者得逞後能以受害者的身分進行身分驗證所帶來的危險,CVSS風險有可能大幅拉高至8.8分。這項漏洞突顯IE仍存在於所有版本的Windows電腦,無論IT人員是否停用這款瀏覽器,只要尚未套用相關修補程式,就會麵臨被駭客盯上的危險。

另一個也被用於攻擊的漏洞,則是CVE-2024-49039,微軟指出涉及身分驗證不當,CVSS風險評為8.8,攻擊者若要利用,首先要通過身分驗證並執行特製應用程式,而能將權限提升至中等完整性層級,並以受限的特權帳號執行RPC功能。一旦攻擊者能掌握AppContainer的低權限,就有機會藉此提升權限,以較高的完整性層級執行程式碼,或是存取資源。

雖然微軟並未說明其他細節,但漏洞懸賞專案Zero Day Initiative(ZDI)指出,這並非單純的權限提升漏洞,而是一種容器逃逸漏洞,而這種類型的弱點被用於實際攻擊的情況,並不常見。值得留意的是,他們得知有多名研究人員通報這項漏洞,代表已在多個地區出現相關的漏洞利用攻擊,因此這項弱點相當值得留意。

至於已被公開的漏洞CVE-2024-49019、CVE-2024-49040,前者由資安業者TrustedSec上個月揭露,並將其命名為EKUwu;後者則為研究人員Vsevolod Kokorin(Slonser)發現,並於今年5月公佈細節。

值得一提的是,Rapid7與ZDI不約而同提及,重大層級漏洞CVE-2024-43498、CVE-2024-43639,也需要特別留意。前者存在於.NET 9.0,為遠端程式碼執行漏洞,CVSS風險為9.8;另一個也是RCE漏洞,存在於Kerberos身分驗證機制,危險程度也同樣達到9.8分。Rapid7指出,利用CVE-2024-43498既不需要特殊權限也無須使用者互動;ZDI則認為很快就有攻擊者將這些漏洞用於實際攻擊行動。

熱門文章
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
英國確認各垂直行業的賭博稅稅率
合規與政策
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
首頁
遊戲
合作
發現
我的