Η 微软 发布了 2024 年 XNUMX 月的安全更新,修复了记录 149 缺陷 ,其中两个已在野外积极开发。
在 149 个缺陷中,142 个被评为“严重”,XNUMX 个被评为“重要”,XNUMX 个被评为“中等”,XNUMX 个被评为“低严重性”。更新是没有问题的 21漏洞 该公司在发布基于 Chromium 的 Edge 浏览器后面临的问题 2024 年 XNUMX 月星期二补丁修复 .
已被积极利用的两个缺陷如下:
- CVE-2024-26234 (CVSS 评分:6,7) – 代理驱动程序欺骗漏洞
- CVE-2024-29988 (CVSS评分:8,8)-SmartScreen Prompt安全功能绕过漏洞
虽然微软的公告没有提供有关的信息 CVE-2024-26234,赛博公司安全Sophos 表示,它于 2023 年 XNUMX 月发现了一个恶意可执行文件(“Catalog.exe”或“Catalog Authentication Client Service”),该可执行文件是 签 来自有效的 Microsoft Windows 硬件兼容性发行商 ( WHCP ) 证书。
验证码分析 二进制文件的原始请求发布者为海南优虎科技有限公司。 Ltd,也是另一个名为LaiXi Android Screen Mirroring 的工具的发行商。
后者被描述为“一款营销软件……可以连接数百部手机并批量控制它们,并自动执行群组关注、点赞和评论等任务”。
在假定的身份验证服务中有一个名为 3代理 它旨在监视和拦截受感染系统上的网络流量,有效地充当后门。
“我们没有证据表明莱西开发人员故意将恶意文件集成到他们的产品中,或者威胁行为者进行了供应链攻击以将其注入莱西应用程序构建/构建过程中,” 他说 Sophos 研究员 Andreas Klopsch。 。
该网络安全公司还表示,到 5 年 2023 月 XNUMX 日,它在野外发现了该后门的其他几个变体,这表明该活动至少从那时起就一直在进行。微软已将相关文件添加到其召回列表中。
微软表示:“要利用此安全功能绕过漏洞,攻击者必须说服用户使用请求不显示用户界面的启动器来启动恶意文件。”
“在电子邮件或即时消息攻击场景中,攻击者可以向目标用户发送旨在利用远程代码执行漏洞的特制文件。”
零日计划 他透露道 尽管微软已将其标记为“最有可能被利用”评级,但有证据表明该漏洞已被利用。
另一个重要问题是脆弱性 CVE-2024-29990 (CVSS 评分:9.0),这是一个影响 Microsoft Azure Kubernetes Service Container Confidential 的特权提升缺陷,未经身份验证的攻击者可能会利用该缺陷窃取凭据。
Redmond 表示:“攻击者可以访问不受信任的 AKS Kubernetes 节点和 AKS 机密容器,以接管它们可能绑定的网络堆栈之外的机密来宾和容器。”
总体而言,该版本的显着之处在于解决了多达 68 个远程代码执行、31 个权限升级、26 个安全功能绕过和 24 个拒绝服务 (DoS) 错误。有趣的是,26 个安全绕过错误中有 XNUMX 个与安全启动相关。
“虽然这些漏洞都没有 安全启动 Tenable 高级研究工程师 Satnam Narang 表示:“本月解决的问题并未在野外被利用,它们提醒人们,安全启动中的缺陷仍然存在,我们将来可能会看到更多与安全启动相关的恶意活动。”一份声明。
这一消息曝光之际,微软已经 面临批评 审查委员会最近的一份报告介绍了其安全实践 网络安全(CSRB) 呼吁该公司没有采取足够措施来阻止由被追踪为 Storm 的中国威胁组织策划的网络间谍活动。去年-0558。
它还遵循公司的决定 发布根本原因数据 使用常见弱点枚举 (CWE) 行业标准来查找安全漏洞。但值得注意的是,这些变化仅适用于 2024 年 XNUMX 月发布的建议。
Rapid7 首席软件工程师 Adam Barnett 在与 The Hacker News 分享的一份声明中表示:“将 CWE 评估添加到 Microsoft 的安全咨询中有助于确定漏洞的总体根本原因。”
“CWE 计划最近更新了关于 将 CVE 映射到 CWE 根本原因 。分析 CWE 趋势可以帮助开发人员通过改进软件开发生命周期 (SDLC) 工作流程和测试来减少未来发生的情况,并帮助防御者了解在何处指导纵深防御工作并强化开发以获得更好的投资回报。”
在相关开发中,网络安全公司 Varonis 公开了攻击者可以采用的两种方法来绕过审核日志并避免在从 SharePoint 导出文件时触发下载事件。
第一种方法利用 SharePoint 的“在应用程序中打开”功能来访问和下载文件,而第二种方法则使用 Microsoft SkyDriveSync 的用户代理来下载文件甚至整个网站,从而将此类事件错误分类为文件同步而不是下载。
“这些技术可以通过将下载伪装成不太可疑的访问和同步事件,绕过传统工具的检测和执行策略,例如云访问安全代理、数据丢失防护和 SIEM。” 他说 埃里克·萨拉加.
第三方软件修复
除了微软之外,其他厂商最近几周也发布了安全更新来修复多个漏洞,包括:
- 土砖
- AMD公司
- Android
- C++ 的 Apache XML 安全性
- 阿鲁巴网络
- 源讯公司
- Bosch
- 思科
- D-Link的
- 戴尔
- Drupal的
- F5
- Fortinet公司
- 极限运动
- GitLab
- Google Chrome
- 谷歌云
- 谷歌像素
- 海康威视
- 日立能源
- HP
- 惠普企业版
- HTTP / 2的
- IBM
- Ivanti
- 詹金斯
- 联想 Lenovo
- LG WebOS
- Linux发行版 Debian, Oracle Linux, 红帽, SUSE及 Ubuntu
- 联发科
- Mozilla Firefox、Firefox ESR 和 Thunderbird
- NETGEAR
- NVIDIA公司
- 高通公司
- 罗克韦尔自动化
- 锈
- Samsung
- 树液
- 施耐德电气
- Siemens
- Splunk的
- 群晖
- VMware的
- WordPress
- Zoom
