微软产品的四个关键问题于上周二被曝光,美国政府要求各联邦民事机构必须在本月底之前修复这些问题。
网络安全和基础设施安全局 (CISA)表示,这四个漏洞影响广泛使用的 Microsoft 工具,并且已被黑客利用。
这四个漏洞(CVE-2024-38226、CVE-2024-43491、CVE-2024-38014 和 CVE-2024-38217)是微软每月安全发布中包含的79 个漏洞的一部分。
网络安全公司 Critical Start 的首席技术官兰迪·沃特金斯 (Randy Watkins) 警告称,这些漏洞需要紧急关注,特别是对于医疗保健、金融和政府等行业的组织。
他说:“组织必须优先考虑这些更新。随着攻击者不断改进他们的策略,未能及时修补不仅可能使组织面临数据盗窃的风险,还可能导致严重的运营中断。”
“攻击链的一部分”
这些漏洞影响 Windows Update、Windows Publisher、Windows Installer 等关键工具,讽刺的是,该工具还会警告用户潜在的安全问题。
一些专家表示,CVE-2024-43491 似乎是这些漏洞中最令人担忧的,因为微软给它的严重性评分为 9.8 分(满分 10 分)。
但仔细观察后,研究人员发现微软对该问题的描述表明该问题只影响了 2015 年 7 月发布的 Windows 10 的一个特定版本。微软表示,Windows 10 的所有后续版本均不受此漏洞的影响。
Action1 创始人迈克·沃尔特斯 (Mike Walters) 表示,该漏洞是由于在 2024 年 3 月至 8 月安装安全更新后对某些之前已缓解的漏洞修复回滚而出现的。
Rapid7 的 Adam Barnett 表示:“总而言之,虽然肯定有不少组织仍在运行 [受影响的] Windows 10 1507,但大多数管理员可以松一口气,然后再回去担心其他事情。”
专家表示,CVE-2024-38226(影响页面布局和图形设计程序 Microsoft Publisher 的漏洞)可能会被用作连锁攻击的一部分,因为它允许黑客绕过安全功能。
攻击者可能会通过发送 Microsoft Publisher 网络钓鱼文档来利用此漏洞。
CVE-2024-38014(影响 Windows Installer)也可能被用作更大攻击链的一部分,因为它允许系统中权限较低的人提升访问权限。Walters 表示,这将允许攻击者“完全控制主机系统,包括系统修改、任意软件安装以及可能禁用安全措施”。
Walters 说:“当与其他攻击媒介结合时,这个漏洞可以引发复杂且具有破坏性的入侵活动,使攻击者有可能突破防御并获得管理控制。”
“它可以作为多向量攻击的第二阶段,其中通过另一个漏洞的初始突破使用 CVE-2024-38014 升级。鉴于 Windows Installer 在各种 Windows 版本中的关键作用,企业环境和个人用户设备都面临风险,可能涉及数千个易受攻击的组织和数百万台设备。”
最后一个漏洞 CVE-2024-38217 是影响 Windows Mark of the Web 的另一个漏洞,Windows Mark of the Web 是一种用于标记从互联网下载的文件的安全工具。
数月来,黑客一直瞄准该功能,Qualys 威胁研究部门经理 Saeed Abbasi 解释说,该漏洞允许攻击者操纵安全警告,这些警告通常会告知用户打开来自未知或不受信任来源的文件的风险。
“类似的 [Mark of the Web] 绕过技术在历史上一直与勒索软件攻击有关,这种攻击的风险很高。”他说。“鉴于该漏洞的公开披露和确认的利用,它成为网络犯罪分子渗透企业网络的主要媒介。”
Rapid7 的 Barnett 指出,该漏洞的利用代码也可在 GitHub 上找到。
