行(xíng)業(yè)動态

微軟官方發布了2024年04月(yuè)的(de)安全更新。本月(yuè)更新公布了157個(gè)漏洞，包含67個(gè)遠程執行(xíng)代碼漏洞、31個(gè)特權提升漏洞、29個(gè)安全功能(néng)繞過漏洞、13個(gè)信息洩露漏洞、7個(gè)拒絕服務漏洞、5個(gè)身份假冒漏洞，其中3個(gè)漏洞級别爲“Critical”（高(gāo)危），145個(gè)爲“Important”（嚴重）。建議用(yòng)戶及時使用(yòng)火(huǒ)絨安全軟件(jiàn)（個(gè)人(rén)/企業(yè)）【漏洞修複】功能(néng)更新補丁。

涉及組件(jiàn)

.NET and Visual Studio

Azure

Azure AI Search

Azure Arc

Azure Compute Gallery

Azure Migrate

Azure Monitor

Azure Private 5G Core

Azure SDK

Internet Shortcut Files

Microsoft Azure Kubernetes Service

Microsoft Brokering File System

Microsoft Defender for IoT

Microsoft Edge (Chromium-based)

Microsoft Install Service

Microsoft Office Excel

Microsoft Office Outlook

Microsoft Office SharePoint

Microsoft WDAC ODBC Driver

Microsoft WDAC OLE DB provider for SQL

Role: DNS Server

Role: Windows Hyper-V

SQL Server

Windows Authentication Methods

Windows BitLocker

Windows Compressed Folder

Windows Cryptographic Services

Windows Defender Credential Guard

Windows DHCP Server

Windows Distributed File System (DFS)

Windows DWM Core Library

Windows File Server Resource Management Service

Windows HTTP.sys

Windows Internet Connection Sharing (ICS)

Windows Kerberos

Windows Kernel

Windows Local Security Authority Subsystem Service (LSASS)

Windows Message Queuing

Windows Mobile Hotspot

Windows Proxy Driver

Windows Remote Access Connection Manager

Windows Remote Procedure Call

Windows Routing and Remote Access Service (RRAS)

Windows Secure Boot

Windows Storage

Windows Telephony Server

Windows Update Stack

Windows USB Print Driver

Windows Virtual Machine Bus

Windows Win32K - ICOMP

以下漏洞需特别注意

代理(lǐ)驅動程序欺騙漏洞

CVE-2024-26234

嚴重級别：嚴重 CVSS：6.7

被利用(yòng)級别：檢測到(dào)利用(yòng)

 該漏洞已檢測到(dào)在野利用(yòng)，無需用(yòng)戶交互，但(dàn)攻擊者需要高(gāo)權限才能(néng)利用(yòng)此漏洞。火(huǒ)絨工(gōng)程師(shī)建議及時安裝補丁進行(xíng)修複。

SmartScreen 提示安全功能(néng)繞過漏洞

CVE-2024-29988

嚴重級别：嚴重  CVSS：8.8

被利用(yòng)級别：很有(yǒu)可(kě)能(néng)被利用(yòng)

該漏洞需要用(yòng)戶交互。成功利用(yòng)此漏洞的(de)攻擊者需要誘使用(yòng)戶點擊惡意鏈接或運行(xíng)惡意文(wén)件(jiàn)，才會(huì)繞過系統保護機制(zhì)，使 SmartScreen 提示失效。

Windows 啓用(yòng)電話(huà)服務器(qì)特權提升漏洞

CVE-2024-26239/CVE-2024-26230

嚴重級别：嚴重 CVSS：7.8

被利用(yòng)級别：很有(yǒu)可(kě)能(néng)被利用(yòng) 

該漏洞不需要用(yòng)戶交互。成功利用(yòng)此漏洞的(de)攻擊者可(kě)提升受攻擊系統賬戶的(de)權限至 SYSTEM 權限執行(xíng)任意代碼。

Microsoft Defender for IoT 遠程代碼執行(xíng)漏洞

CVE-2024-21323

嚴重級别：高(gāo)危  CVSS：8.8

被利用(yòng)級别：有(yǒu)可(kě)能(néng)被利用(yòng)

該漏洞不需要用(yòng)戶交互。攻擊者需要驗證自己的(de)身份并獲得啓動更新過程所需的(de)權限，通過網絡向 Defender for IoT 傳感器(qì)發送惡意更新包覆蓋他(tā)們選擇的(de)任何文(wén)件(jiàn)來利用(yòng)此漏洞。這可(kě)能(néng)導緻攻擊者在目标計(jì)算機上(shàng)遠程執行(xíng)任意代碼。

Microsoft Azure Kubernetes Service Confidential Container特權提升漏洞

CVE-2024-29990

嚴重級别：嚴重  CVSS：9.0

被利用(yòng)級别：有(yǒu)可(kě)能(néng)被利用(yòng)

該漏洞不需要用(yòng)戶交互。利用(yòng)此漏洞的(de)攻擊者通過訪問不受信任的(de) AKS Kubernetes 節點和(hé) AKS 機密容器(qì)以及 AKSCC 内運行(xíng)的(de)應隔離(lí)和(hé)保護的(de)應用(yòng)程序，該行(xíng)爲可(kě)能(néng)會(huì)竊取憑據，并影響 Azure Kubernetes Service Confidential Containers (AKSCC) 管理(lǐ)的(de)安全範圍之外的(de)資源。火(huǒ)絨工(gōng)程師(shī)建議用(yòng)戶及時更新 az confcom 和(hé) Kata Image 到(dào)最新版本。

Azure CycleCloud特權提升漏洞

CVE-2024-29993

嚴重級别：嚴重  CVSS：8.8

被利用(yòng)級别：有(yǒu)可(kě)能(néng)被利用(yòng)

該漏洞不需要用(yòng)戶交互。利用(yòng)此漏洞的(de)攻擊者必須擁有(yǒu)分(fēn)配了用(yòng)戶角色的(de)賬戶。成功利用(yòng)此漏洞的(de)攻擊者可(kě)以将賬戶權限提升到(dào)受影響的(de) Azure CycleCloud 實例中的(de)超級用(yòng)戶角色。

修複建議

下載微軟官方提供的(de)補丁

https://msrc.microsoft.com/update-guide

完整微軟通告：

https://msrc.microsoft.com/update-guide/releaseNote/2024-Apr