微软在 11 月份的安全补丁中确认了四个新的零日漏洞后,敦促 Windows 用户立即更新他们的系统。在报告的 90 多个安全问题中,其中两个零日漏洞正在被积极利用,给用户带来了重大风险。
了解零日漏洞
考虑到公开披露的漏洞和积极受到攻击的漏洞,微软对于零日威胁的构成有着独特的视角。正如 2024 年 11 月补丁星期二版本中强调的那样,已识别的四个漏洞中有两个目前正在被利用。
CVE-2024-43451 特别值得注意;这是一个 NT LAN Manager 哈希泄露欺骗漏洞,可能会暴露 NTLM 身份验证协议。 Automox 安全运营团队负责人 Ryan Braunstein 表示,该缺陷需要用户交互才能被利用。具体来说,用户需要打开通过网络钓鱼尝试发送的精心设计的文件,攻击才能成功。当受到攻击时,由于 NTLM 哈希值的泄露(旨在保护密码),此漏洞允许攻击者潜在地以用户身份进行身份验证。
另一方面,CVE-2024-49039 是一个 Windows 任务计划程序特权提升漏洞。 Automox 的高级安全工程师 Henry Smith 指出,此缺陷利用远程过程调用功能,使攻击者能够在获得对 Windows 系统的初始访问权限后提升其权限。修补仍然是针对这些漏洞的最可靠的防御措施,特别是因为功能性利用代码已经在野外传播。
严重漏洞等级为 9.8
除了警报之外,两个漏洞在通用漏洞评分系统上的评级为 9.8,表明了它们的潜在影响。 CVE-2024-43498 影响 .NET Web 应用程序,允许未经身份验证的远程攻击者通过恶意请求利用该应用程序。同时,CVE-2024-43639 针对 Windows Kerberos,使未经授权的攻击者能够通过相同的未经身份验证的向量执行代码。
然而,Fortra 安全研发副总监 Tyler Reguly 表示,重点应该针对影响严重程度为 9.8 级的两个安全漏洞。 “虽然通用漏洞评分系统并不是风险指标,”Reguly 说,“9.8 的分数通常很能说明问题所在。”
鉴于这些漏洞的严重性,Microsoft 强调应用安全更新的重要性,特别是对于操作 Windows、Office、SQL Server、Exchange Server、.NET 和 Visual Studio 的用户。 Ivanti 安全产品管理副总裁 Chris Goettl 指出,由于这些漏洞的已知性和被积极利用的性质,修补应该是首要任务。
跟踪最近的攻击和漏洞
最近发生的俄罗斯黑客利用其系统漏洞专门针对乌克兰实体进行攻击的事件加剧了微软的担忧。这凸显了这些漏洞不仅仅存在软件问题,还具有更广泛的影响。 ClearSky 安全研究人员报告称,NTLM 哈希泄露漏洞 (CVE-2024-43451) 被用来通过网络钓鱼方案窃取 NTLMv2 哈希值,从而触发允许攻击者远程访问受感染系统的序列。
通过在网络钓鱼电子邮件中使用精心设计的超链接,攻击者迫使用户与恶意文件进行交互,从而激活连接到攻击者控制的服务器的漏洞。这凸显了用户保持警惕并报告可疑通信的迫切需要。
美国网络安全和基础设施安全局 (CISA) 将 CVE-2024-43451 添加到其已知被利用的漏洞目录中,要求组织在 12 月初之前保护其易受攻击的系统。正如 CISA 所言,此类漏洞经常成为恶意网络行为者的攻击媒介,并带来巨大风险,特别是在联邦网络内。
了解这些漏洞后,我们敦促用户立即采取行动。微软的 11 月补丁星期二是减轻与新发现的缺陷相关的风险的必要步骤。随着混合工作环境继续模糊网络安全的界限,坚持最佳实践并确保及时更新可以大大减少潜在威胁的暴露。
特色图片来源: Windows/Unsplash