威脅情資

【OIS-CTI 情資發送 OIS-CTI-2024-08-003】-微軟 8 月例行更新公布 10 個零時差漏洞,其中 6 個已出現實際攻擊

資安警訊 - 微軟 8 月例行更新公布 10 個零時差漏洞,其中 6 個已出現實際攻擊




發布編號:OIS-CTI-2024-08-003

情資來源iThome


事件類型:漏洞警訊公告


內容說明


微軟發布 8 月例行更新,當中公告 10 個零時差漏洞,其中已有 6 個被用於實際攻擊行動,並被美國網路安全暨基礎設施安全局(CISA)列入已被利用漏洞列表(KEV)


8 月 13 日微軟發布本月份例行更新,總共修補 90 個漏洞,其中包含 36 個權限提升、4 個安全功能繞過、28 個遠端程式碼執行(RCE)、8 個資訊洩露、6 個阻斷服務(DoS),以及 7 個可用於欺騙攻擊。


值得留意的是,本次公布的漏洞當中,有多達 10 個零時差漏洞,是今年微軟單月公告零時差漏洞數量最多的一次,其中有 6 個已被用於實際攻擊行動。此外,這次還包含一個尚未推出修補程式的零時差漏洞。


這些已被用於攻擊行動的漏洞是:Windows 核心權限提升 CVE-2024-38106、電源相依性協調器(Power Dependency Coordinator)權限提升 CVE-2024-38107、指令碼引擎記憶體中斷CVE-2024-38178、專案管理軟體 Project 的遠端程式碼執行 CVE-2024-38189、WinSock 輔助功能驅動程式權限提升 CVE-2024-38193,以及 MoTW 安全功能繞過 CVE-2024-38213,CVSS 風險評分介於 6.5 至 8.8 分,美國網路安全暨基礎設施安全局(CISA)也將這些漏洞全數列入已被利用漏洞列表(KEV),要求聯邦機構在 9 月 3 日前完成修補。


其中,風險評分最高的是 CVE-2024-38189,濫用的前提是攻擊者要先引誘用戶開啟惡意 Project專案檔案,若此時電腦停用 Office 阻止來自網際網路的巨集執行政策,就可能讓攻擊者觸發漏洞並遠端執行程式碼,此弱點的 CVSS 評分為 8.8。


還有一個高風險漏洞 CVE-2024-38178,漏洞懸賞專案 Zero Day Initiative(ZDI)認為特別值得留意,因為攻擊者要引誘使用者點選特製的 URL,讓 Edge 在 Internet Explorer(IE)模式下執行,從而觸發漏洞,由於這項漏洞與已經棄用的 IE 有關。 ZDI 認為相當不尋常。


另外 4 個在微軟公告前已被揭露的漏洞,分別是 Windows 安全核心模式權限提升漏洞CVE-2024-21302、行式印表機後臺程序(Line Printer Daemon,LPD)服務遠端程式碼執行漏洞CVE-2024-38199、Office 欺騙漏洞 CVE-2024-38200,以及 Windows 更新堆疊權限提升漏洞CVE-2024-38202,CVSS 風險評分介於 6.5 至 9.8。


其中,最值得留意的,是資安業者 SafeBreach 於上週 2024 黑帽大會揭露的 CVE-2024-21302、CVE-2024-38202,這兩個漏洞可被用於發動 Windows Downdate 降級攻擊,將特定的系統元件降級為存在漏洞的舊版,但這次微軟僅對 CVE-2024-21302 提供修補,至於另一個漏洞CVE-2024-38202 的更新程式,他們坦承仍在製作中。


雖然微軟現在為 CVE-2024-21302 提供更新軟體,不過,資安業者 Rapid7 警告他們的做法有不足之處,因為這個修補程式並非自動修補資產,而是提供加入微軟簽章的撒銷政策,有可能在不當還原的情況下造成無限循環重新開機的風險。


影響平台


  • Windows



影響版本


  • Windows Server 2008 for 32-bit Systems Service Pack 2

  • Windows Server 2016 (Server Core installation)

  • Windows Server 2012 R2

  • Windows 10 Version 21H2 for 32-bit Systems

  • Windows Server 2022 (Server Core installation)

  • Office LTSC 2021、Office 2019、2016 的 64-bit 和 32-bit 版本、與 Microsoft 365 for Enterprise 32-bit、64-bit。

  • Project

  • Microsoft Edge



官方建議措施


用戶到時還是必須升級到 8/13/2024 更新版以獲得最終版修補。



參考連結

https://www.ithome.com.tw/news/164472

https://www.ithome.com.tw/news/164409

https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug

https://www.bleepingcomputer.com/microsoft-patch-tuesday-reports/Microsoft-Patch-Tuesday-August-2024.html





--
If you have any questions, please do not hesitate to contact us.

開啟資安系統股份有限公司 Open Information Security Inc.
網路威脅情資分享 OIS-CTI (OIS Cyber Threat Intelligence)
返回列表 返回首頁