2024年9月网络安全风险提示

近日微软发布了2024年9月份的月度例行安全公告，共发布了79个漏洞的补丁程序，修复了Windows Win32k、Windows Installer、Microsoft SharePoint Server和Microsoft Publisher等产品中的漏洞。利用上述漏洞，攻击者可进行欺骗，绕过安全功能限制，获取敏感信息，提升权限，执行远程代码，或发起拒绝服务攻击等。我中心提醒全校师生用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

一、 漏洞信息

经研判，以下27个重要漏洞值得关注（包括7个紧急漏洞、19个重要漏洞、1个中等），如下表所示：

以下19 个漏洞被微软标记为“Exploitation More Likely”，这代表这些漏洞更容易被利用：

❖ CVE-2024-38144 Kernel Streaming WOW Thunk 服务驱动程序权限提升漏洞

❖ CVE-2024-38125 Kernel Streaming WOW Thunk 服务驱动程序权限提升漏洞

❖ CVE-2024-38147 Microsoft DWM 核心库权限提升漏洞

❖ CVE-2024-38141 Windows辅助功能驱动程序WinSock权限提升漏洞

❖ CVE-2024-38150 Windows DWM 核心库权限提升漏洞

❖ CVE-2024-38063 Windows TCP/IP 远程代码执行漏洞

❖ CVE-2024-38163 Windows Update Stack 权限提升漏洞

❖ CVE-2024-38133 Windows 内核权限提升漏洞

❖ CVE-2024-38148 Windows 安全通道拒绝服务漏洞

❖ CVE-2024-38198 Windows 打印后台处理程序权限提升漏洞

❖ CVE-2024-38196 Windows 通用日志文件系统驱动程序权限提升漏洞

以下漏洞被微软标记为“Exploitation Detected”：

❖ CVE-2024-38226 Microsoft Publisher 安全功能绕过漏洞

❖ CVE-2024-43491 Microsoft Windows 更新远程代码执行漏洞

❖ CVE-2024-38014 Windows Installer 权限提升漏洞

❖ CVE-2024-38217 Windows Web 查询标记安全功能绕过漏洞

鉴于这些漏洞危害较大，建议大家尽快安装更新补丁。

二、 漏洞描述

值得关注的27个漏洞的详细信息如下：

1、 CVE-2024-43491 Microsoft Windows 更新远程代码执行漏洞

该漏洞允许远程攻击者入侵易受攻击的系统。该漏洞是由于Microsoft Windows 更新服务中的释放后使用错误而产生的。远程攻击者可以向系统发送特制的流量，触发释放后使用错误并执行任意代码。成功利用该漏洞可能允许攻击者入侵易受攻击的系统。该漏洞已存在在野利用。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-43491

2、 CVE-2024-38217 Windows Web 查询标记安全功能绕过漏洞

该漏洞允许远程攻击者绕过已实施的安全限制。该漏洞是由于安全措施实施不足而存在的。攻击者可以诱骗受害者下载特制文件，逃避Web 标记(MOTW) 防御并绕过安全功能，例如SmartScreen 应用程序信誉安全检查和/或旧版Windows 附件服务安全提示。该漏洞已存在在野利用。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38217

3、 CVE-2024-38226 Microsoft Publisher 安全功能绕过漏洞

该漏洞允许远程攻击者绕过已实施的安全限制。该漏洞是由于安全措施实施不足而导致的。攻击者可以诱骗受害者打开特制文件，绕过Office 宏策略限制并在系统上执行任意代码。该漏洞已存在在野利用。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38226

4、 CVE-2024-38014 Windows Installer 权限提升漏洞

该漏洞允许本地用户提升系统权限。该漏洞是由于Windows Installer 中的权限管理不当而导致的。本地用户可以使用SYSTEM 权限执行任意代码。该漏洞已存在在野利用。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38014

5、 CVE-2024-43464和CVE-2024-38018Microsoft SharePoint Server 远程代码执行漏洞

该漏洞允许远程用户在目标系统上执行任意代码。该漏洞是由于在Microsoft SharePoint Server 中处理序列化数据时输入验证不安全而导致的。远程管理员可以将特制数据传递给应用程序并在目标系统上执行任意代码。成功利用此漏洞可能导致易受攻击的系统完全被攻陷。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-43464

http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38018

6、 CVE-2024-38119 Windows 网络地址转换(NAT) 远程代码执行漏洞

该漏洞允许远程攻击者破坏易受攻击的系统。该漏洞是由于Windows 网络地址转换(NAT) 中的释放后使用错误而存在的。本地网络上的远程攻击者可以在目标系统上执行任意代码。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38119

7、 CVE-2024-38194 Azure Web 应用权限提升漏洞

该漏洞允许远程攻击者提升系统权限。该漏洞是由于Azure WebApps对用户提供的输入验证不足而导致的。远程用户可以将特制的输入传递给应用程序，并在目标系统上获得提升的权限。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38194

8、 CVE-2024-38220 Azure Stack Hub 权限提升漏洞洞

该漏洞允许远程攻击者未经授权访问原本受限制的功能。该漏洞是由于Azure Stack Hub 中的访问限制不当而导致的。远程用户可以绕过已实施的安全限制并获得系统的提升权限。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38220

9、CVE-2024-38216 Azure Stack Hub 权限提升漏洞

该漏洞允许远程攻击者入侵目标系统。该漏洞是由于Azure Stack Hub对用户提供的输入验证不足而存在的。远程用户可以将特制的输入传递给应用程序并获得对系统资源的未经授权的访问权限。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38216

10、CVE-2024-38246 Win32k 权限提升漏洞

该漏洞允许本地用户在目标系统上执行任意代码。该漏洞是由于Win32k中的边界错误而存在的。本地用户可以触发基于堆栈的缓冲区溢出并在目标系统上执行任意代码。成功利用此漏洞可能导致易受攻击的系统完全被攻陷。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38246

11、CVE-2024-38243 内核流式处理服务驱动程序权限提升漏洞

该漏洞允许本地用户提升系统权限。该漏洞是由于内核流服务驱动程序对用户提供的输入验证不足而导致的。本地用户可以将特制的输入传递给应用程序，并在目标系统上获得提升的权限。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38243

12、CVE-2024-38237 Kernel Streaming WOW Thunk 服务驱动程序权限提升漏洞

该漏洞允许本地用户在目标系统上执行任意代码。该漏洞是由于Kernel Streaming WOW Thunk Service Driver中的边界错误而导致的。本地用户可以将特制数据传递给应用程序，触发基于堆的缓冲区溢出并在目标系统上执行任意代码。成功利用此漏洞可能导致易受攻击的系统完全被攻陷。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38237

13、CVE-2024-38249 Windows 图形组件权限提升漏洞

该漏洞允许本地用户入侵易受攻击的系统。该漏洞是由于Windows 图形组件中的释放后使用错误而导致的。本地用户可以提升目标系统的权限。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38249

14、CVE-2024-43461 Windows MSHTML Platform 欺骗漏洞

该漏洞允许远程攻击者执行欺骗攻击。该漏洞是由于对用户提供的数据处理不正确而产生的。远程攻击者可以诱骗受害者访问特制的网站，执行欺骗攻击并可能危及受影响的系统。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-43461

15、CVE-2024-43457 Windows 安装和部署权限提升漏洞

该漏洞允许本地用户提升系统权限。该漏洞是由于Windows 安装和部署中未加引号的搜索路径或元素而存在的。本地用户可以在目标系统上获得提升的权限。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-43457

16、CVE-2024-38247 Windows 图形组件权限提升漏洞

该漏洞允许本地用户提升系统权限。该漏洞是由于Windows 图形组件中的边界错误而存在的。本地用户可以将特制数据传递给应用程序，触发双重释放错误并在目标系统上获得提升的权限。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38247

17、CVE-2024-38245 内核流式处理服务驱动程序权限提升漏洞

该漏洞允许本地用户提升系统权限。该漏洞是由于内核流服务驱动程序对用户提供的输入验证不足而导致的。本地用户可以将特制的输入传递给应用程序，并在目标系统上获得提升的权限。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38245

18、CVE-2024-38244 内核流式处理服务驱动程序权限提升漏洞

该漏洞允许本地用户提升系统权限。该漏洞是由于内核流服务驱动程序对用户提供的输入验证不足而导致的。本地用户可以将特制的输入传递给应用程序，并在目标系统上获得提升的权限。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38244

19、CVE-2024-38238 内核流式处理服务驱动程序权限提升漏洞

该漏洞允许本地用户在目标系统上执行任意代码。该漏洞是由于内核流服务驱动程序中的边界错误而导致的。本地用户可以将特制数据传递给应用程序，触发基于堆的缓冲区溢出，并以提升的权限在目标系统上执行任意代码。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38238

20、CVE-2024-38227和CVE-2024-38228Microsoft SharePoint Server 远程代码执行漏洞

该漏洞允许远程用户在目标系统上执行任意命令。该漏洞是由于Microsoft SharePoint Server 中的输入验证不当而导致的。远程管理员可以上传特制文件并在目标系统上执行任意命令。成功利用此漏洞可能导致易受攻击的系统被彻底攻陷。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38227

http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38228

21、Windows Win32 内核子系统权限提升漏洞

该漏洞允许本地用户入侵易受攻击的系统。该漏洞是由于Windows Win32 内核子系统中的释放后使用错误而导致的。本地用户可以在目标系统上获得提升的权限。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38252

22、CVE-2024-38242 内核流式处理服务驱动程序代码执行漏洞

该漏洞允许本地用户在目标系统上执行任意代码。该漏洞是由于内核流服务驱动程序中的边界错误而导致的。本地用户可以将特制数据传递给应用程序，触发基于堆的缓冲区溢出，并以提升的权限在目标系统上执行任意代码。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38242

23、CVE-2024-38241 内核流式处理服务驱动程序权限提升漏洞

该漏洞允许本地用户提升系统权限。该漏洞是由于内核流服务驱动程序对用户提供的输入验证不足而导致的。本地用户可以将特制的输入传递给应用程序，并在目标系统上获得提升的权限。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-38241

24、CVE-2024-43487 Windows Web 查询标记安全功能绕过漏洞

该漏洞允许远程攻击者绕过已实施的安全限制。该漏洞是由于WindowsMark of the Web 的安全措施实施不足而导致的。远程攻击者可以绕过SmartScreen 用户体验。

参考链接：http://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-43487

三、 处置建议

可以采用以下官方解决方案及缓解方案来防护此漏洞：

Windows自动更新，Windows系统默认启用MicrosoftUpdate，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”

2、选择“更新和安全”，进入“Windows更新”（WindowsServer2012以及WindowsServer2012R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）

3、选择“检查更新”，等待系统将自动检查并下载可用更新

4、重启计算机，安装更新。

系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

手动安装补丁

另外，对于不能自动更新的系统版本，可参考以下链接下载适用于该系统的9 月补丁并安装：

http://msrc.microsoft.com/update-guide/releaseNote/2024-Sep

网络信息技术中心

2024年9月12日