微軟發(fā)布了2025年最后一個補丁星期二更新，修復了71個新的通用漏洞和暴露(CVE)。其中一個零日漏洞通過Windows通用日志文件系統(tǒng)驅動程序實現(xiàn)特權提升，成為本次更新的焦點。

這個被分配為CVE-2024-49138的漏洞由CrowdStrike高級研究團隊發(fā)現(xiàn)，源于堆緩沖區(qū)溢出，攻擊者可以利用不當?shù)倪吔鐧z查來覆蓋堆中的內(nèi)存。

攻擊者可以相對容易地利用這個漏洞執(zhí)行任意代碼并獲得系統(tǒng)級權限，從而進行更深入和影響更大的攻擊，如勒索軟件。微軟表示已經(jīng)觀察到CVE-2024-49138在野外被利用。

補丁管理專家Action1的總裁兼聯(lián)合創(chuàng)始人Mike Walters解釋說："CLFS驅動程序是Windows的核心組件，應用程序用它來寫入事務日志。這個漏洞通過操縱驅動程序的內(nèi)存管理，實現(xiàn)未經(jīng)授權的特權提升，最終獲得系統(tǒng)級訪問權限 —— Windows中的最高權限。獲得系統(tǒng)權限的攻擊者可以執(zhí)行諸如禁用安全保護、竊取敏感數(shù)據(jù)或安裝持久性后門等操作。"

Walters解釋說，任何使用標準CLFS組件的Windows系統(tǒng)(可追溯到2008年)都容易受到這個漏洞的影響，如果不迅速解決，可能會在企業(yè)環(huán)境中造成潛在的麻煩。

Ivanti安全產(chǎn)品副總裁Chris Goettl表示："已確認該漏洞在野外被利用，并且有關漏洞的一些信息已公開披露，但這些披露可能不包括代碼樣本。微軟將這個CVE評為重要，其CVSSv3.1評分為7.8。基于風險的優(yōu)先級會將這個漏洞評為嚴重，這使得本月的Windows操作系統(tǒng)更新成為你的首要任務。"

關鍵問題

Zero Day Initiative的Dustin Childs觀察到，2024年微軟在12個月內(nèi)推出了1000多個漏洞修復，是繼2020年之后第二高的數(shù)量。2024年12月的更新以16個嚴重漏洞的高數(shù)量而引人注目，這些漏洞無一例外都會導致遠程代碼執(zhí)行(RCE)。

這些漏洞中，有9個影響Windows遠程桌面服務，3個存在于Windows輕量級目錄訪問協(xié)議(LDAP)，2個在Windows消息隊列(MSMQ)，以及各1個分別在Windows本地安全機構子系統(tǒng)服務(LSASS)和Windows Hyper-V中。

其中，Windows LDAP中的CVE-2024-49112可能需要最密切關注，它的CVSS評分高達9.8，影響所有從Windows 7和Server 2008 R2以來的Windows版本。如果不解決，未經(jīng)身份驗證的攻擊者可以在底層服務器上實現(xiàn)RCE。

LDAP通常在充當Windows網(wǎng)絡中的域控制器的服務器上使用，為了使域正常運行，需要將此功能暴露給環(huán)境中的其他服務器和客戶端。

Immersive Labs首席安全工程師Rob Reeves解釋道："微軟表示攻擊復雜度較低，且不需要身份驗證。此外，他們建議立即停止通過互聯(lián)網(wǎng)或不受信任的網(wǎng)絡暴露這項服務。攻擊者可以對LDAP服務進行一系列精心設計的調(diào)用，并在該服務的上下文中獲得訪問權限，該服務將以系統(tǒng)權限運行。"

"由于機器帳戶的域控制器狀態(tài)，評估認為這將立即允許攻擊者獲取域內(nèi)所有憑證哈希的訪問權限。還評估認為，攻擊者只需在域內(nèi)的Windows主機上獲得低特權訪問權限或在網(wǎng)絡中獲得立足點，就可以利用這項服務 —— 從而完全控制域。"

Reeves告訴《計算機周刊》，威脅行為者，特別是勒索軟件團伙，將在未來幾天積極嘗試為這個漏洞開發(fā)利用程序，因為在Active Directory環(huán)境中完全控制域控制器可以讓他們訪問該域上的每臺Windows機器。

他警告說："使用帶有域控制器的Windows網(wǎng)絡的環(huán)境應該緊急修補這個漏洞，并確保積極監(jiān)控域控制器是否有被利用的跡象。"

最后

最后，本月有一個鮮為人知的漏洞值得關注，那就是Microsoft Muzic中被追蹤為CVE-2024-49063的漏洞。

Ivanti的Goettl觀察到："Microsoft Muzic AI項目很有趣。CVE-2024-49063是Microsoft Muzic中的一個遠程代碼執(zhí)行漏洞。要解決這個問題，開發(fā)人員需要從GitHub獲取最新版本來更新他們的實現(xiàn)。"

這個漏洞源于不受信任數(shù)據(jù)的反序列化，如果攻擊者能夠創(chuàng)建惡意負載來執(zhí)行，就會導致遠程代碼執(zhí)行。

對于不熟悉這個項目的人來說，Microsoft Muzic是一個正在進行的研究項目，旨在使用人工智能(AI)來理解和生成音樂。該項目的一些功能包括自動歌詞轉錄、歌曲寫作和歌詞生成、伴奏生成和歌聲合成。