微软 7 月更新修复了 143 个漏洞,其中包括两个被利用的漏洞 网络相关

上传中...100%

作为每月安全更新的一部分,微软发布了补丁来解决总共143 个安全漏洞,其中两个漏洞已被广泛利用。

143 个漏洞中有 5 个被评为严重,136 个被评为重要,4 个被评为中等严重程度。这些修复程序是对过去一个月内基于 Chromium 的 Edge 浏览器中已修复的33 个漏洞的补充。

以下是两个被利用的安全漏洞:

CVE-2024-38080(CVSS 评分:7.8)- Windows Hyper-V 特权提升漏洞
CVE-2024-38112(CVSS 评分:7.5)- Windows MSHTML 平台欺骗漏洞
微软在谈及 CVE-2024-38112 时表示:“要成功利用此漏洞,攻击者需要在利用之前采取额外措施来准备目标环境。攻击者必须向受害者发送一个恶意文件,受害者必须执行该文件。”

Check Point 安全研究员 Haifei Li 于 2024 年 5 月发现并报告了该漏洞,他表示,威胁行为者正在利用特制的 Windows Internet 快捷方式文件 (.URL),点击后,通过调用已退役的 Internet Explorer (IE) 浏览器将受害者重定向到恶意 URL。

李解释说: “IE 上还有一个技巧可以隐藏恶意的 .HTA 扩展名。通过使用 IE 而不是 Windows 上更安全、更现代的 Chrome/Edge 浏览器打开 URL,攻击者在利用受害者计算机方面获得了显著优势,尽管该计算机运行的是现代的 Windows 10/11 操作系统。”

早在 2023 年 1 月,采用该攻击技术的工件就已上传到 VirusTotal 恶意软件扫描平台,这表明威胁行为者已经意识到该漏洞超过 1.5 年。

Tenable 高级研究员 Satnam Narang 表示:“CVE-2024-38080 是 Windows Hyper-V 中的一个特权提升漏洞。本地经过身份验证的攻击者可以利用此漏洞在初步攻陷目标系统后将特权提升至系统级别。”

虽然目前尚不清楚 CVE-2024-38080 滥用的具体细节,但 Narang 指出,这是自 2022 年以来 44 个 Hyper-V 漏洞中第一个被广泛利用的漏洞。

微软修补的另外两个安全漏洞在发布时已被列为已知漏洞。其中包括一种名为FetchBench的侧信道攻击(CVE-2024-37985,CVSS 评分:5.9),该攻击可让攻击者从基于 Arm 的系统上运行的特权进程中查看堆内存。

第二个公开披露的漏洞是CVE-2024-35264(CVSS 评分:8.1),这是一个影响.NET 和 Visual Studio 的远程代码执行漏洞。

雷德蒙德在一份公告中表示:“攻击者可以通过在处理请求主体时关闭 http/3 流来利用此漏洞,从而导致竞争条件。这可能导致远程代码执行。”

作为补丁星期二更新的一部分,还解决了影响 SQL Server Native Client OLE DB 提供程序的 37 个远程代码执行漏洞、20 个安全启动安全功能绕过漏洞、三个 PowerShell 特权提升漏洞以及 RADIUS 协议中的欺骗漏洞(CVE-2024-3596又名 BlastRADIUS)。

Rapid7 的首席产品经理 Greg Wiseman 表示:“[SQL Server 漏洞] 特别影响 OLE DB 提供程序,因此不仅需要更新 SQL Server 实例,还需要解决运行存在漏洞的连接驱动程序版本的客户端代码。”

“例如,攻击者可以使用社会工程策略欺骗经过身份验证的用户尝试连接到配置为返回恶意数据的 SQL Server 数据库,从而允许在客户端执行任意代码。”

补丁列表的最后一项是CVE-2024-38021(CVSS 评分:8.8),这是 Microsoft Office 中的一个远程代码执行漏洞,如果成功利用,可能允许攻击者获得高权限,包括读取、写入和删除功能。

Morphisec 于 2024 年 4 月下旬向微软报告了该漏洞,并表示该漏洞不需要任何身份验证,并且由于其零点击性质而构成严重风险。

Michael Gorelik表示: “攻击者可以利用此漏洞获得未经授权的访问,执行任意代码,并在无需任何用户交互的情况下造成重大损害。” “缺乏身份验证要求使其特别危险,因为它为广泛利用打开了大门。”

微软上个月底宣布将开始发布与云相关的安全漏洞的 CVE 标识符,以提高透明度。

标签: 微软

之参博客 发布于  2024-7-11 11:44 

微软发现罗克韦尔自动化 PanelView Plus 中存在严重缺陷 网络相关


微软披露了罗克韦尔自动化 PanelView Plus 中的两个安全漏洞,这些漏洞可被远程、未经身份验证的攻击者利用来执行任意代码并触发拒绝服务 (DoS) 条件。

安全研究员 Yuval Gordon表示:“PanelView Plus 中的 [远程代码执行] 漏洞涉及两个自定义类,可被滥用来将恶意 DLL 上传并加载到设备中。”

“DoS 漏洞利用相同的自定义类来发送设备无法正确处理的精心设计的缓冲区,从而导致 DoS。”

缺点列表如下 -

CVE-2023-2071(CVSS 分数:9.8) - 一个不当的输入验证漏洞,允许未经身份验证的攻击者通过精心设计的恶意数据包执行远程代码。
CVE-2023-29464(CVSS 评分:8.2) - 一种不当的输入验证漏洞,允许未经身份验证的威胁行为者通过精心设计的恶意数据包从内存中读取数据,并通过发送大于缓冲区大小的数据包导致 DoS
成功利用这两个缺陷可使对手远程执行代码或导致信息泄露或 DoS 情况。


CVE-2023-2071 影响 FactoryTalk View Machine Edition(版本 13.0、12.0 及之前版本),而 CVE-2023-29464 则影响 FactoryTalk Linx(版本 6.30、6.20 及之前版本)。

值得注意的是,罗克韦尔自动化分别于2023 年 9 月 12 日和2023 年 10 月 12 日发布了针对这些漏洞的警告。美国网络安全和基础设施安全局 (CISA) 于9 月 21 日和10 月 17 日发布了自己的警报。

此次披露之际,未知威胁行为者被认为正在利用最近披露的 HTTP 文件服务器严重安全漏洞 ( CVE-2024-23692,CVSS 评分:9.8) 来传播加密货币矿工和木马,如Xeno RAT、Gh0st RAT 和 PlugX。

该漏洞被描述为模板注入的案例,允许远程、未经身份验证的攻击者通过发送特制的 HTTP 请求在受影响的系统上执行任意命令。


之参博客 发布于  2024-7-5 09:47