GitLab 发布了社区版（CE）和企业版（EE）的安全更新，以解决八个安全漏洞，包括一个可能允许在任意分支上运行持续集成和持续交付（CI/CD）管道的严重漏洞。

该漏洞的编号为 CVE-2024-9164，CVSS 评分为 9.6（满分 10 分）。

GitLab在一份公告中表示： “GitLab EE 中发现一个问题，影响从 12.5 开始到 17.2.9 之前的所有版本、从 17.3 开始到 17.3.5 之前的所有版本以及从 17.4 开始到 17.4.2 之前的所有版本，该问题允许在任意分支上运行管道。”

在其余七个问题中，四个问题的严重程度评级为高，两个问题的严重程度评级为中等，一个问题的严重程度评级为低 -

CVE-2024-8970（CVSS 评分：8.2），允许攻击者在特定情况下以其他用户身份触发管道
CVE-2024-8977（CVSS 评分：8.2），允许在配置并启用产品分析仪表板的 GitLab EE 实例中发起 SSRF 攻击
CVE-2024-9631（CVSS 评分：7.5），导致查看有冲突的合并请求的差异时速度变慢
CVE-2024-6530（CVSS 评分：7.3），由于跨站点脚本问题，授权新应用程序时会导致 OAuth 页面中出现 HTML 注入
这份公告是 GitLab 近几个月来披露的一系列与管道相关的漏洞中最新的一个。

上个月，该公司解决了另一个严重漏洞（CVE-2024-6678，CVSS 评分：9.9），该漏洞可能允许攻击者以任意用户身份运行管道作业。

在此之前，它还修补了另外三个类似的缺陷——CVE -2023-5009（CVSS 分数：9.6）、CVE-2024-5655（CVSS 分数：9.6）和CVE-2024-6385（CVSS 分数：9.6）。

虽然没有证据表明有人主动利用该漏洞，但建议用户将其实例更新到最新版本以防范潜在威胁。

DrayTek 生产的家用和企业路由器中发现了十几个新的安全漏洞，这些漏洞可被利用来接管易受攻击的设备。

Forescout Vedere Labs 在与 The Hacker News 分享的技术报告中表示：“这些漏洞可能使攻击者通过注入恶意代码来控制路由器，从而使他们在设备上持久驻留并将其用作进入企业网络的网关。”

在这 14 个安全漏洞中，两个被评为严重，九个被评为高严重，三个被评为中等严重。最严重的一个漏洞获得了 CVSS 最高评分 10.0。

它涉及 Web 用户界面中“GetCGI()”函数中的缓冲区溢出错误，该错误可能在处理查询字符串参数时导致拒绝服务 (DoS) 或远程代码执行 (RCE)。

另一个严重的漏洞与用于主机和客户机操作系统之间通信的“recvCmd”二进制文件中的操作系统（OS）命令注入有关。

其余 12 个缺陷如下：

整个系统使用相同的管理员凭据，导致整个系统受到攻击（CVSS 评分：7.5）
Web UI 中存在反射型跨站点脚本 (XSS) 漏洞（CVSS 评分：7.5）
配置登录后自定义问候消息时 Web UI 中存在存储型 XSS 漏洞（CVSS 评分：4.9）
配置显示给用户的自定义路由器名称时，Web UI 中存在存储型 XSS 漏洞（CVSS 评分：4.9）
Web UI 登录页面中的反射型 XSS 漏洞（CVSS 评分：4.9）
Web UI 的 CGI 页面“/cgi-bin/v2x00.cgi”和“/cgi-bin/cgiwcg.cgi”中的缓冲区溢出漏洞导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 的 CGI 页面中的缓冲区溢出漏洞导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 的“/cgi-bin/ipfedr.cgi”页面中存在堆栈缓冲区溢出漏洞，可导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 中存在多个缓冲区溢出漏洞，可导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 的 ft_payloads_dns() 函数中存在基于堆的缓冲区溢出漏洞，可导致 DoS（CVSS 评分：7.2）
Web UI 中的越界写入漏洞导致 DoS 或 RCE（CVSS 评分：7.2）
Web UI 的 Web 服务器后端存在信息泄露漏洞，可能允许威胁行为者执行中间人 (AitM) 攻击（CVSS 评分：7.6）
Forescout 的分析发现，超过 704,000 台 DrayTek 路由器的 Web UI 暴露在互联网上，使其成为恶意行为者攻击的热门地点。大多数暴露的实例位于美国，其次是越南、荷兰、台湾和澳大利亚。

DrayTek 路由器
在负责任地披露之后，DrayTek发布了针对所有已发现缺陷的补丁，并且还在 11 款停产 (EoL) 型号中解决了最高等级的漏洞。

Forescout 表示：“要完全防范新漏洞，需要修补运行受影响软件的设备。如果路由器上启用了远程访问，请在不需要时禁用它。如果可能，请使用访问控制列表 (ACL) 和双因素身份验证 (2FA)。

目前，澳大利亚、加拿大、德国、日本、荷兰、新西兰、韩国、英国和美国的网络安全机构已为关键基础设施组织发布了联合指导，以帮助维护安全、可靠的运营技术 (OT) 环境。

该文件名为“运营技术网络安全原则”，概述了六条基本规则 -
安全至关重要
了解业务至关重要
OT 数据极其宝贵，需要得到保护
将 OT 与所有其他网络进行分段和隔离
供应链必须安全
人员对于 OT 网络安全至关重要

该机构表示：“快速筛选决策以识别那些影响 OT 安全的决策，将有助于在设计、实施和管理 OT 环境时做出稳健、明智和全面的决策，从而促进安全性和业务连续性。”

网络安全研究人员透露，5% 的 Adob​​e Commerce 和 Magento 商店已被恶意行为者利用名为 CosmicSting 的安全漏洞进行攻击。

该严重漏洞的编号为CVE-2024-34102（CVSS 评分：9.8），与 XML 外部实体引用 (XXE) 漏洞的限制不当有关，可能导致远程代码执行。该漏洞由名为“ spacewasp ”的研究人员发现，并于 2024 年 6 月被 Adob​​e 修补。

荷兰安全公司 Sansec 将CosmicSting描述为“两年来袭击 Magento 和 Adob​​e Commerce 商店的最严重的漏洞”，并表示这些电子商务网站受到攻击的速度为每小时三到五个。

该漏洞此后遭到广泛利用，促使美国网络安全和基础设施安全局 (CISA) 在 2024 年 7 月中旬将其添加到已知利用漏洞 (KEV) 目录中。

其中一些攻击利用该漏洞窃取 Magento 的秘密加密密钥，然后使用该密钥生成具有完全管理 API 访问权限的 JSON Web 令牌 (JWT)。随后，威胁行为者被观察到利用 Magento REST API 注入恶意脚本。

这也意味着，仅仅应用最新的修复不足以抵御攻击，需要网站所有者采取措施轮换加密密钥。

2024 年 8 月观察到的后续攻击将 CosmicSting 与 CNEXT（CVE-2024-2961，GNU C 库（又名 glibc）内的 iconv 库中的漏洞）相结合，以实现远程代码执行。

Sansec指出：“CosmicSting（CVE-2024-34102）允许在未打补丁的系统上读取任意文件。当与 CNEXT（CVE-2024-2961）结合使用时，威胁行为者可以升级到远程代码执行，从而控制整个系统。”

这些攻击的最终目标是通过 GSocket 在主机上建立持久、隐蔽的访问，并插入恶意脚本，允许执行从攻击者那里收到的任意 JavaScript，以窃取用户在网站上输入的支付数据。

最新调查结果显示，雷朋、国家地理、思科、惠而浦和赛格威等多家公司都已成为 CosmicSting 攻击的受害者，至少有七个不同的团体参与了此类攻击 -

Bobry 小组使用空格编码来隐藏执行托管在远程服务器上的付款窃取器的代码
Polyovki 组，使用来自 cdnstatics.net/lib.js 的注入
Surki 组织，利用 XOR 编码隐藏 JavaScript 代码
布隆杜基组织 (Burunduki)，通过 wss://jgueurystatic[.]xyz:8101 的 WebSocket 访问动态 skimmer 代码
Group Ondatry使用自定义 JavaScript 加载恶意软件来注入虚假支付表单，模仿商户网站使用的合法支付表单
Khomyaki 组织将支付信息泄露到包含 2 个字符 URI（“rextension[.]net/za/”）的域名
Belki 组织利用 CosmicSting 和 CNEXT 植入后门和恶意软件
Sansec 表示：“强烈建议商家升级到最新版本的 Magento 或 Adob​​e Commerce。他们还应该轮换秘密加密密钥，并确保旧密钥失效。”

上传中...100%

网络安全研究人员警告称，有人试图针对 Synacor 的 Zimbra Collaboration 中新披露的安全漏洞进行主动攻击。

企业安全公司 Proofpoint 表示，它从 2024 年 9 月 28 日开始观察该活动。此次攻击试图利用CVE-2024-45519，这是 Zimbra 后日志服务中的一个严重安全漏洞，可能使未经身份验证的攻击者能够在受影响的安装上执行任意命令。

Proofpoint 在 X 的一系列帖子中表示：“这些冒充 Gmail 的电子邮件被发送到抄送字段中的虚假地址，试图让 Zimbra 服务器解析这些邮件并将其作为命令执行。这些地址包含使用 sh 实用程序执行的 Base64 字符串。”

Zimbra在 2024 年 9 月 4 日发布的8.8.15 Patch 46、9.0.0 Patch 41、10.0.9 和 10.1.1 版本中解决了这一严重问题。一位名为 lebr0nli（Alan Li）的安全研究员因发现并报告这一缺陷而受到赞誉。

Synacor 安全架构师工程师 Ashish Kataria在 2024 年 9 月 19 日的评论中指出： “虽然在大多数系统上，postjournal 功能可能是可选的或未启用的，但仍然有必要应用提供的补丁来防止潜在的攻击。”

“对于未启用 postjournal 功能且无法立即应用补丁的 Zimbra 系统，可以考虑删除 postjournal 二进制文件作为一种临时措施，直到可以应用补丁为止。”

Proofpoint 表示，它确定了一系列 CC 地址，这些地址在解码后会尝试在位于“/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp”的易受攻击的 Zimbra 服务器上写入 Web shell。

随后，已安装的 Web Shell 将使用预定的 JSESSIONID Cookie 字段来监听入站连接，如果存在，则继续解析 JACTION cookie 以获取 Base64 命令。

Web Shell 配备了通过 exec 执行命令的支持。或者，它也可以通过套接字连接下载并执行文件。截至撰写本文时，尚未将这些攻击归咎于已知的威胁行为者或团体。

话虽如此，攻击活动似乎是在 Project Discovery 发布该漏洞的技术细节后的第二天开始的，该细节称“该漏洞源于未修补版本中未经清理的用户输入被传递给popen，从而使攻击者能够注入任意命令”。

该网络安全公司表示，问题根源在于基于 C 的 postjournal 二进制文件在名为“msg_handler()”的函数中处理和解析收件人电子邮件地址的方式，从而允许在传递带有虚假地址的特制 SMTP 消息（例如“aabbb$(curl${IFS}oast.me)”@mail.domain.com）时对运行在端口 10027 上的服务进行命令注入。

鉴于积极的攻击尝试，强烈建议用户应用最新补丁，以获得最佳的防护以抵御潜在威胁。

网络安全研究人员发现 WordPress 的 LiteSpeed Cache 插件中又一个严重的安全漏洞，该漏洞可能允许未经身份验证的用户控制任意帐户。

该漏洞编号为 CVE-2024-44000（CVSS 评分：7.5），影响 6.4.1 之前的版本（包括 6.4.1 版本）。该漏洞已在 6.5.0.1 版本中得到解决。

Patchstack 研究员 Rafie Muhammad 表示：“该插件存在未经身份验证的帐户接管漏洞，任何未经身份验证的访问者都可以获得任何已登录用户的身份验证访问权限，最坏的情况下可以获得管理员级别角色的访问权限，之后可以上传和安装恶意插件。 ”

此次发现是在对该插件进行广泛的安全分析之后得出的，此前该分析已发现一个严重的权限提升漏洞（CVE-2024-28000，CVSS 评分：9.8）。LiteSpeed Cache 是 WordPress 生态系统中流行的缓存插件，拥有超过 500 万个活跃安装。

新的漏洞源于名为“/wp-content/debug.log”的调试日志文件被公开暴露，这使得未经身份验证的攻击者可以查看文件中包含的潜在敏感信息。

这还可能包括 HTTP 响应标头中的用户 cookie 信息，从而有效地允许用户使用任何有效的会话登录到存在漏洞的站点。

该漏洞的严重程度较低，因为前提条件是必须在 WordPress 网站上启用调试功能才能成功。或者，它也可能会影响过去某个时间点激活了调试日志功能但未能删除调试文件的网站。

需要注意的是，此功能默认是禁用的。补丁通过将日志文件移动到 LiteSpeed 插件文件夹内的专用文件夹（“/wp-content/litespeed/debug/”）、随机化文件名以及删除在文件中记录 cookie 的选项来解决该问题。

建议用户检查其安装中是否存在“/wp-content/debug.log”，如果调试功能已启用（或曾经启用），则采取措施清除它们。

还建议设置 .htaccess 规则来拒绝直接访问日志文件，因为如果恶意行为者通过反复试验的方法知道新的文件名，他们仍然可以直接访问新的日志文件。

穆罕默德说：“此漏洞凸显了确保执行调试日志过程的安全性、不应记录哪些数据以及如何管理调试日志文件的重要性。”

网络安全研究人员发现 20 多个可能被用于攻击 MLOps 平台的漏洞，并警告机器学习 (ML) 软件供应链中存在安全风险。

这些漏洞被描述为固有和基于实现的缺陷，可能会造成严重后果，从任意代码执行到加载恶意数据集。

MLOps 平台提供设计和执行 ML 模型管道的功能，其中模型注册表充当用于存储和版本训练的 ML 模型的存储库。然后可以将这些模型嵌入到应用程序中，或允许其他客户端使用 API（又称模型即服务）查询它们。

JFrog 研究人员在一份详细报告中表示： “固有漏洞是由目标技术所使用的底层格式和流程导致的漏洞。”

一些固有漏洞的例子包括滥用 ML 模型来运行攻击者选择的代码，利用模型在加载时支持自动代码执行的事实（例如，Pickle 模型文件）。

这种行为还扩展到某些数据集格式和库，允许自动执行代码，从而在简单加载公开可用的数据集时可能打开恶意软件攻击的大门。

另一个固有漏洞实例涉及 JupyterLab（以前称为 Jupyter Notebook），这是一个基于 Web 的交互式计算环境，使用户能够执行代码块（或单元）并查看相应的结果。

研究人员指出：“许多人不知道的一个固有问题是，在 Jupyter 中运行代码块时如何处理 HTML 输出。Python 代码的输出可能会发出 HTML 和 [JavaScript]，而浏览器会很乐意呈现这些内容。”

这里的问题是，JavaScript 结果在运行时不会受到父 Web 应用程序的沙盒保护，并且父 Web 应用程序可以自动运行任意 Python 代码。

换句话说，攻击者可以输出恶意的 JavaScript 代码，以便在当前的 JupyterLab 笔记本中添加新单元，将 Python 代码注入其中，然后执行它。在利用跨站点脚本 (XSS) 漏洞的情况下尤其如此。

为此，JFrog 表示，它发现了 MLFlow 中的一个 XSS 漏洞 ( CVE-2024-27132 ，CVSS 评分：7.5)，该漏洞源于运行不受信任的配方时缺乏足够的清理，从而导致 JupyterLab 中的客户端代码执行。

研究人员表示：“这项研究的主要结论之一是，我们需要将 ML 库中的所有 XSS 漏洞视为潜在的任意代码执行，因为数据科学家可能会将这些 ML 库与 Jupyter Notebook 一起使用。”

第二组缺陷与实施弱点有关，例如 MLOps 平台缺乏身份验证，这可能允许具有网络访问权限的威胁行为者通过滥用 ML Pipeline 功能来获得代码执行能力。

这些威胁并不是理论上的，出于经济动机的攻击者会滥用此类漏洞来部署加密货币矿工，正如未修补的 Anyscale Ray（ CVE-2023-48022 ，CVSS 评分：9.8）的情况一样。

第二种类型的实施漏洞是针对 Seldon Core 的容器逃逸，它使攻击者能够超越代码执行，在云环境中横向移动，并通过将恶意模型上传到推理服务器来访问其他用户的模型和数据集。

这些漏洞串联起来的最终结果是，它们不仅可以被用作武器来渗透和传播到组织内部，而且还能危害服务器。

研究人员表示：“如果你正在部署一个允许模型服务的平台，那么你现在应该知道，任何可以提供新模型的人实际上也可以在该服务器上运行任意代码。”“确保运行模型的环境完全隔离，并针对容器逃逸进行强化。”

此次披露之际，Palo Alto Networks Unit 42详细介绍了开源 LangChain 生成 AI 框架中两个现已修补的漏洞 (CVE-2023-46229 和 CVE-2023-44467)，这两个漏洞可能分别允许攻击者执行任意代码和访问敏感数据。

上个月，Trail of Bits 还披露了检索增强生成 (RAG) 开源聊天机器人应用程序 Ask Astro 中的四个问题，这些问题可能导致聊天机器人输出中毒、文档提取不准确以及潜在的拒绝服务 (DoS)。

正如人工智能应用程序中暴露出的安全问题一样，人们也设计出一些技术来毒害训练数据集，最终目的是诱骗大型语言模型 (LLM) 生成易受攻击的代码。

康涅狄格大学的一组学者表示：“与最近将恶意负载嵌入代码可检测或不相关部分（例如注释）的攻击不同，CodeBreaker 利用 LLM（例如 GPT-4）进行复杂的负载转换（不影响功能），确保用于微调的毒化数据和生成的代码都可以逃避强大的漏洞检测。 ”

SolarWinds 已发布补丁来解决其 Web Help Desk (WHD) 软件中的一个新安全漏洞，该漏洞可能允许远程未经身份验证的用户未经授权访问易受攻击的实例。

该公司在今天发布的新公告中表示： “SolarWinds Web Help Desk (WHD) 软件受到硬编码凭证漏洞的影响，允许未经身份验证的远程用户访问内部功能并修改数据。”

该漏洞编号为CVE-2024-28987，在 CVSS 评分系统中评级为 9.1，表示严重程度极高。Horizo​​n3.ai 安全研究员 Zach Hanley 因发现并报告该漏洞而受到赞誉。

建议用户更新到版本12.8.3 Hotfix 2，但应用该修复需要 Web Help Desk 12.8.3.1813 或 12.8.3 HF1。

一周前，SolarWinds 着手解决同一软件中的另一个可被用于执行任意代码的严重漏洞（CVE-2024-28986，CVSS 评分：9.8）。

根据美国网络安全和基础设施安全局 (CISA) 的说法，该漏洞此后已被广泛利用，尽管它在现实世界的攻击中如何被滥用目前仍不得而知。

有关 CVE-2024-28987 的更多详细信息预计将于下个月发布，因此及时安装更新以减轻潜在威胁至关重要。

谷歌已经推出安全修复程序，以解决其 Chrome 浏览器的一个高严重性安全漏洞，该漏洞已被广泛利用。

该漏洞被编号为CVE-2024-7971，被描述为 V8 JavaScript 和 WebAssembly 引擎中的类型混淆错误。

根据NIST 国家漏洞数据库 (NVD) 中对该漏洞的描述，“128.0.6613.84 之前的 Google Chrome 版本中的 V8 中的类型混淆允许远程攻击者通过精心设计的 HTML 页面利用堆损坏”。

微软威胁情报中心 (MSTIC) 和微软安全响应中心 (MSRC) 于 2024 年 8 月 19 日发现并报告了该漏洞。

目前尚未发布关于利用此漏洞进行攻击的性质或可能将其武器化的威胁行为者的身份的更多详细信息，主要是为了确保大多数用户都得到修复。

然而，这家科技巨头在一份简短的声明中承认，它“意识到 CVE-2024-7971 漏洞正在被利用”。值得一提的是，CVE-2024-7971 是继 CVE-2024-4947 和 CVE-2024-5274 之后，该公司今年在 V8 中修复的第三个类型混淆漏洞。

自 2024 年初以来，谷歌已解决了 Chrome 中的 9 个零日漏洞，其中包括在 Pwn2Own 2024 上演示的三个漏洞 -

CVE-2024-0519 - V8 中的越界内存访问
CVE-2024-2886 - WebCodecs 中的释放后使用（在 Pwn2Own 2024 上演示）
CVE-2024-2887 - WebAssembly 中的类型混淆（在 Pwn2Own 2024 上演示）
CVE-2024-3159 - V8 中的越界内存访问（在 Pwn2Own 2024 上演示）
CVE-2024-4671 - 视觉效果中的释放后使用
CVE-2024-4761 - V8 中的越界写入
CVE-2024-4947 – V8 中的类型混淆
CVE-2024-5274 – V8 中的类型混淆

建议用户将 Windows 和 macOS 版 Chrome 升级到 128.0.6613.84/.85 版本，将 Linux 版升级到 128.0.6613.84 版本，以减轻潜在威胁。

还建议基于 Chromium 的浏览器（例如 Microsoft Edge、Brave、Opera 和 Vivaldi）的用户在修复程序可用时立即应用它们。

一种之前未记录的后门程序 Msupedge 已被用于对付针对台湾一所未具名大学的网络攻击。

博通旗下赛门铁克威胁猎人团队在与 The Hacker News 分享的一份报告中表示：“该后门最显著的特征是它通过 DNS 流量与命令和控制 (C&C) 服务器进行通信。”

目前，该后门的来源以及攻击背后的目的尚不清楚。

据称，可能有助于部署 Msupedge 的初始访问载体涉及利用最近披露的影响 PHP 的严重漏洞（CVE-2024-4577，CVSS 评分：9.8），该漏洞可用于实现远程代码执行。

有问题的后门是一个动态链接库 (DLL)，安装在路径“csidl_drive_fixed\xampp\”和“csidl_system\wbem\”中。其中一个 DLL，wuplog.dll，由 Apache HTTP 服务器 (httpd) 启动。第二个 DLL 的父进程尚不清楚。

Msupedge 最显著的方面是它依赖 DNS 隧道与 C＆C 服务器进行通信，其代码基于开源dnscat2工具。

赛门铁克指出：“它通过执行名称解析来接收命令。Msupedge 不仅通过 DNS 流量接收命令，还将解析后的 C&C 服务器 IP 地址 (ctl.msedeapi[.]net) 用作命令。”

具体来说，解析后的 IP 地址的第三个八位字节充当一个switch case，通过从中减去七并使用其十六进制表示法来触发适当的响应，从而确定后门的行为。例如，如果第三个八位字节是 145，则新得出的值将转换为 138 (0x8a)。

Msupedge 支持的命令如下 -

0x8a：使用通过 DNS TXT 记录收到的命令创建进程
0x75：使用通过 DNS TXT 记录收到的下载 URL 下载文件
0x24：休眠预定的时间间隔
0x66：休眠预定的时间间隔
0x38：创建一个临时文件“%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”，其用途未知
0x3c：删除文件“%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp”

目前，UTG-Q-010 威胁组织已被指控与一项新的网络钓鱼活动有关，该活动利用加密货币和与工作相关的诱饵来传播一种名为Pupy RAT的开源恶意软件。

赛门铁克表示：“攻击链涉及使用带有嵌入式 DLL 加载器的恶意 .lnk 文件，最终导致 Pupy RAT 负载部署。Pupy是一种基于 Python 的远程访问木马 (RAT)，具有反射 DLL 加载和内存执行等功能。”

微软周二发布了修复程序，修复了总共90 个安全漏洞，包括 10 个零日漏洞，其中 6 个已在野外遭到积极利用。

在这 90 个漏洞中，9 个被评为“严重”，80 个被评为“重要”，1 个被评为“中等”。此外，自上个月以来，这家科技巨头还解决了 Edge 浏览器中的36 个漏洞。

补丁星期二更新主要解决了六个被积极利用的零日漏洞 -

CVE-2024-38189（CVSS 评分：8.8）- Microsoft Project 远程代码执行漏洞
CVE-2024-38178（CVSS 评分：7.5）- Windows 脚本引擎内存损坏漏洞
CVE-2024-38193（CVSS 评分：7.8）- Windows 辅助功能驱动程序的 WinSock 特权提升漏洞
CVE-2024-38106（CVSS 评分：7.0）- Windows 内核特权提升漏洞
CVE-2024-38107（CVSS 评分：7.8）- Windows Power Dependency Coordinator 特权提升漏洞
CVE-2024-38213（CVSS 评分：6.5）- Windows Mark of the Web 安全功能绕过漏洞
CVE-2024-38213 允许攻击者绕过 SmartScreen 保护，攻击者需要向用户发送恶意文件并诱使他们打开它。发现并报告此漏洞的是趋势科技的 Peter Girnus，他表示这可能是CVE-2024-21412 或 CVE-2023-36025 的绕过方法，这两个漏洞之前曾被 DarkGate 恶意软件运营商利用。

这一事态发展促使美国网络安全和基础设施安全局 (CISA) 将这些漏洞添加到其已知被利用漏洞 ( KEV ) 目录中，并要求联邦机构在 2024 年 9 月 3 日之前修复这些漏洞。

以下四个 CVE 被列为已知漏洞 -

CVE-2024-38200（CVSS 评分：7.5）- Microsoft Office 欺骗漏洞
CVE-2024-38199（CVSS 评分：9.8）- Windows 行式打印机守护程序 (LPD) 服务远程代码执行漏洞
CVE-2024-21302（CVSS 评分：6.7）- Windows 安全内核模式特权提升漏洞
CVE-2024-38202（CVSS 评分：7.3）- Windows 更新堆栈特权提升漏洞
Tenable 的员工研究工程师 Scott Caveza 在谈到 CVE-2024-38200 时表示：“攻击者可以通过诱骗受害者访问特制的文件（可能是通过网络钓鱼电子邮件）来利用此漏洞。”

“成功利用此漏洞可能会导致受害者将新技术局域网管理器 (NTLM) 哈希暴露给远程攻击者。NTLM 哈希可能会在 NTLM 中继或传递哈希攻击中被滥用，从而进一步让攻击者在组织中站稳脚跟。”

此更新还解决了打印后台处理程序组件中的权限提升漏洞（CVE-2024-38198，CVSS 评分：7.8），该漏洞允许攻击者获得系统权限。微软表示：“成功利用此漏洞需要攻击者赢得竞争条件。”

另一个值得注意的漏洞是CVE-2024-38173（CVSS 评分：6.7），这是一个影响 Microsoft Outlook 的远程代码执行漏洞，需要攻击者或受害者从本地机器执行代码才能成功利用它。

网络安全公司 Morphisec 于 2024 年 6 月发现并报告了该漏洞，该公司将其描述为类似于CVE-2024-30103，并且是一个零点击漏洞，“在启用了 Microsoft 自动打开电子邮件功能的系统上，不需要用户交互”。

话虽如此，微软尚未发布针对CVE-2024-38202 和 CVE-2024-21302 的更新，这些更新可能会被滥用来针对 Windows 更新架构发起降级攻击，并用旧版本替换当前版本的操作系统文件。

此次披露是在 Fortra报告通用日志文件系统 ( CLFS ) 驱动程序 (CVE-2024-6768，CVSS 评分：6.8) 中存在拒绝服务 (DoS) 漏洞之后进行的，该漏洞可能导致系统崩溃，从而导致蓝屏死机 (BSoD)。

当记者联系到微软发言人时，他告诉 The Hacker News，该问题“不符合我们严重性分类指南规定的立即服务标准，我们将在未来的产品更新中考虑它”。

“所描述的技术要求攻击者已经在目标机器上获得代码执行能力，并且不会授予提升的权限。我们鼓励客户养成良好的在线计算习惯，包括在运行用户无法识别的程序时要小心谨慎，”发言人补充道。

其他供应商的软件补丁#
除微软外，过去几周其他供应商也发布了安全更新，以修复多个漏洞，其中包括：

Adobe
AMD
苹果
手臂
博世
Broadcom（包括 VMware）
思科
Citrix
D-Link
戴尔
Drupal
F5
飞塔
GitLab
谷歌安卓
谷歌浏览器
谷歌云
谷歌穿戴操作系统
HMS 网络
惠普
HP Enterprise（包括 Aruba Networks）
IBM
英特尔
伊万蒂
詹金斯
瞻博网络
联想
Linux 发行版Amazon Linux、Debian、Oracle Linux、Red Hat、Rocky Linux、SUSE和Ubuntu
联发科
米迪
MongoDB
Mozilla Firefox、Firefox ESR 和 Thunderbird
英伟达
进步软件
高通
罗克韦尔自动化
三星
树液
施耐德电气
西门子
索尼克墙
Splunk
Spring 框架
T 型头
趋势科技
缩放，然后
合勤科技
更新#
趋势科技在与 The Hacker News 分享的声明中表示，CVE-2024-38213 并不是 CVE-2024-21412 的绕过方法，并且 WebDAV 共享上的任何文件都会受到该漏洞的影响。

该公司在一份声明中表示：“CVE-2024-38213 是一个很好的例子，说明我们如何利用在野外发现的零日漏洞来指导我们如何开展额外的安全研究。”“这个案例还凸显了补丁数量少或不足可能会成为一场安全噩梦。”

CVE-2024-38213 的代号为 copy2pwn，“会导致 WebDAV 共享中的文件在没有 Web 标记保护的情况下在本地复制”，零日计划 (ZDI)表示，并指出它被 DarkGate 运营商利用。

“从 WebDAV 共享复制和粘贴的文件没有获得 Web 标记。这意味着用户可以将文件从 WebDAV 共享复制并粘贴到他们的桌面，并且这些文件随后可以在没有 Windows Defender SmartScreen 或 Microsoft Office Protected View 保护的情况下打开。”

（该报道在发表后进行了更新，包含了有关利用 CVE-2024-38213 的攻击性质的信息。）