Akamai 对 2024 年 10 月 Patch Tuesday 的看法
Spooky scary vulnerabilities, send shivers down your (server) stack
Shrieking CVEs will shock your corp, seal your nets tonight 🎵
新的一个月到了,我们有一大批 CVE(但不同于万圣节糖果,我们不能把它们分发给盛装打扮的孩子们)。本月共有 117 个 CVE,涉及 60 个不同的组件。其中,三个是严重漏洞,两个已被广泛利用,一个是我们发现的。
在本博文中,我们将评估漏洞的严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞为您提供现实的看法。请在每次 Patch Tuesday 后的几日留意这些见解。
这份报告会持续更新,随着研究的进展,我们将在其中增补更多信息。敬请期待!
本月,我们将重点关注已修复漏洞的以下方面:
在现实环境中发现的漏洞
CVE-2024-43572——Microsoft 管理控制台 (CVSS 7.8)
Microsoft 管理控制台 (mmc.exe) 是用于各种组件的图形界面。
Windows 事件查看器、服务管理器和任务调度程序等都是作为 Microsoft 管理控制台的管理单元实施的,还有许多其他管理单元。
管理单元本身也是扩展名为 .msc 的文件,这些文件告诉管理控制台要显示什么以及提供哪些功能。(因此,当您运行事件查看器时,实际上是在后台运行 mmc.exe eventvwr.msc)。
该漏洞似乎与加载不受信任的 .msc 文件有关。一旦处理不当,可能导致远程代码执行 (RCE)。当然,这里的“远程”是指攻击者和受害者之间的距离。受害者必须下载并打开恶意的 .msc 文件才能触发该漏洞。除了修复 RCE 之外,本月的补丁还包括一个修复,防止加载不受信任的 .msc 文件。
CVE-2024-43573——Windows MSHTML 平台 (CVSS 6.5)
MSHTML 是用于 Windows 操作系统的网页渲染程序。它会开放组件对象模型 (COM) 接口,以允许程序添加网页渲染功能。Internet Explorer、Microsoft Edge 的 Internet Explorer 模式、Microsoft Outlook 和其他各种程序都使用 MSHTML。
过去,相关人员在 MSHTML 平台中发现了多个漏洞(其中包括 Akamai 研究人员发现的几个漏洞)。对于攻击者来说,该平台是一个颇具吸引力的利用目标,因为它能够规避防御机制并且它是 Windows 中的一项内置功能。
Akamai 研究人员发现的漏洞
CVE-2024-43532——远程注册表服务 (CVSS 8.8)
Windows 中的远程注册表服务允许远程计算机之间与 Windows 注册表进行交互,并通过远程过程调用 (RPC) 协议实施。CVE-2024-43532 由 Akamai 研究人员 Stiv Kupchik 发现,并于 2024 年 2 月进行披露。
该漏洞实际上存在于远程注册表 RPC 实施的客户端,具体是在 RegConnectRegistry 和 RegConnectRegistryEx 函数中。根本原因在于 RPC 传输中的回调机制。虽然远程注册表流量通常通过 SMB 命名管道处理,但客户端实施包含一个回调机制,以便在命名管道不可用时使用 TCP。与使用安全认证和加密的 SMB 流量不同,TCP 流量在身份验证时没有进行完整性检查或加密,这使其易受 NTLM 中继攻击的影响。
我们将在 2024 年 No Hat 大会上介绍该漏洞,因此您可以亲临大会现场聆听,或者在活动结束后阅读我们发布的相关博文。
Microsoft Configuration Manager
Microsoft Configuration Manager 是 Intune 软件家族的一部分,旨在帮助 IT 经理配置和管理大量 Windows 计算机和服务器。
Configuration Manager 设置中有多个组件,但我们关注的是它的 SQL 数据库。根据 CVE-2024-43468 的说明及其弱点 ID,成功利用该漏洞可以对其数据库运行命令(在单体式的单服务器安装中,也可以在主要 Configuration Manager 服务器上运行命令)。
由于 Configuration Manager 及其控制台应用程序都有补丁,因此问题很可能在于输入到服务器的值在传递到数据库之前没有经过清理或验证(而不是数据库本身的安全性问题)。因此,仅通过分段来保护数据库并不太可能降低此漏洞的影响,尽管这仍然是一项良好的安全措施。
可以通过以下 osquery 检测 Configuration Manager 安装:
SELECT display_name, status, start_type, path FROM services WHERE name='SMS_Executive’
Windows 远程桌面
Windows 远程桌面用于通过远程桌面协议 (RDP) 在 Windows 计算机之间建立远程桌面连接。本月有多个与 Windows 远程桌面不同组件相关的漏洞,我们将一并讨论。
当然,最主要的漏洞是 CVE-2024-43582,这是服务器端服务上的一个严重 RCE 漏洞。攻击者“仅”需连接到 RDP 服务器,向其发送畸形数据包,并赢得争用条件,即可利用该条件实现 RCE。
由于 RDP 在网络中十分常见,并且可以用于横向移动,我们建议制定覆盖它的策略规则。根据我们的观察,89% 的网络具有 Windows RDP 流量,73% 的网络具有不受限制的流量。
限制 RDP 对用户机器的访问,或仅限制预先授权的服务器(如跳箱)的访问,可以大大降低此类漏洞引发的风险。我们在分段博文中讨论了一些关于 RDP 的速效方案。无论政策如何,我们建议您尽快进行修补。
| 组件 | CVE 编号 | CVSS 分数 | 影响 |
|---|---|---|---|
| 远程桌面协议服务器 | CVE-2024-43582 | 8.1 | 远程代码执行 |
| Windows Remote Desktop Licensing Service | CVE-2024-38262 | 7.5 | |
| 远程桌面客户端 | CVE-2024-43533 | 8.8 | |
| CVE-2024-43599 | 8.8 | ||
| Windows 远程桌面服务 | CVE-2024-43456 | 4.8 | 篡改 |
以前涵盖的服务
在本月的 Patch Tuesday 中,许多 CVE 针对的是我们过去已经介绍过的系统。如果您对我们就这些服务的分析或常规建议感兴趣,建议您了解我们之前发布的对 Patch Tuesday 的看法博文。
服务 |
CVE 编号 |
影响 |
所需访问权限 |
|---|---|---|---|
权限提升 |
网络,已经过身份验证 |
||
信息泄露 |
网络 |
||
远程代码执行 |
本地,需要社会工程或网络钓鱼 |
||
远程代码执行 |
网络 |
||
权限提升 |
本地 |
||
远程代码执行 |
网络 |
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。您还可以关注我们的微信公众号,了解更多实时动态。
