微软在2024年5月的补丁周二更新中解决了其软件中61个新的安全漏洞,其中包括两个被积极利用的零日漏洞。
在这61个漏洞中,一个被评为严重,59个被评为重要,另外一个也被评为严重。此外,微软还修复了基于Chromium的Edge浏览器中的30个漏洞,其中包括两个零日漏洞(CVE-2024-4671和CVE-2024-4761)。
被武器化的两个安全缺陷如下:
- CVE-2024-30040(CVSS评分:8.8)——Windows MSHTML平台安全功能绕过漏洞。
- CVE-2024-30051(CVSS评分:7.8)——Windows桌面窗口管理器(DWM)核心库特权提升漏洞。
微软在CVE-2024-30040的咨询中指出,“一个未经认证的攻击者可以通过说服用户打开一个恶意文档来获得代码执行,从而在用户的背景下执行任意代码。”成功利用需要攻击者说服用户加载特制文件,并通过电子邮件或即时消息分发和操纵它。受害者无需点击或打开文件即可激活感染。
CVE-2024-30051允许威胁行为者获得系统特权。该缺陷由卡巴斯基、DBAPPSecurity WeBin实验室、Google威胁分析小组和Mandiant的研究人员发现并报告,表明可能存在广泛的利用。卡巴斯基研究人员Boris Larin和Mert Degirmenci表示,“我们已经看到它与QakBot和其他恶意软件一起使用,并相信多个威胁行为者可以访问它。”
美国网络安全和基础设施安全局(CISA)已将这两个漏洞添加到其已知的漏洞(KEV)目录中,要求联邦机构在2024年6月4日之前应用最新的修复程序。
此外,微软还解决了几个远程代码执行错误,包括9个影响Windows Mobile宽带驱动程序和7个影响Windows路由和远程访问服务(RRAS)的漏洞。其他值得注意的缺陷包括通用日志文件系统(CLFS)驱动程序中的漏洞(CVE-2024-29996、CVE-2024-30025和CVE-2024-30037,CVSS评分均为7.8)、Win32k中的漏洞(CVE-2024-30028和CVE-2024-30030,CVSS评分为7.8)、Windows搜索服务中的漏洞(CVE-2024-30033,CVSS评分为7.0)和Windows内核中的漏洞(CVE-2024-30018,CVSS评分为7.8)。
卡巴斯基在2024年3月透露,威胁行为者正积极利用Windows组件中现已修补的特权升级漏洞,因为“这是获得快速NT AUTHORITY\SYSTEM的非常简单的方法”。Akamai进一步概述了一种影响利用DHCP管理员组的Active Directory (AD)环境的新特权升级技术。
Akamai指出,“在DHCP服务器角色安装在域控制器(DC)上的情况下,这可能使他们能够获得域管理权限。除了提供特权升级原语外,同样的技术也可以用于创建一个隐身域持久性机制。”
列表中的另一个漏洞是一个影响Windows网络标记(MotW)的安全功能绕过漏洞(CVE-2024-30050,CVSS评分:5.4),可以通过恶意文件利用该漏洞来逃避防御。
