2024年11月微软发布了针对其各种产品中89个新安全问题的修复程序，其中两个漏洞（CVE-2024-43451和CVE-2024-49039）已被攻击者积极利用。CVE-2024-43451允许攻击者提升权限并获取用户身份验证凭据，CVE-2024-49039则存在于Windows任务调度程序中，也用于提升权限。此外，微软还修复了其他一些值得关注的漏洞，例如Windows Kerberos中的远程代码执行漏洞、OpenSSL漏洞以及Active Directory证书服务中的权限提升漏洞等。微软建议用户尽快安装这些补丁以保护系统安全，并关注可能出现的新的攻击手段。

⚠️ **CVE-2024-43451漏洞：**该漏洞允许攻击者通过泄露用户的NTLMv2哈希值来提升权限，攻击者可利用该哈希值以用户身份进行身份验证，实现系统访问和横向移动。触发该漏洞需要用户交互，例如选择或检查包含漏洞的恶意文件。

💻 **CVE-2024-49039漏洞：**该漏洞存在于Windows任务调度程序中，允许AppContainer逃逸，使低权限用户能够以中等完整性执行代码。攻击者利用该漏洞可以提升权限，访问受限资源并执行代码，例如RPC函数。

🛡️ **其他值得注意的漏洞：**微软还修复了Windows Kerberos中的远程代码执行漏洞（CVE-2024-43639）、OpenSSL漏洞（CVE-2024-5535）、Active Directory证书服务中的权限提升漏洞（CVE-2024-49019）等，这些漏洞均存在被利用的风险，需要用户及时更新补丁。

✉️ **Exchange Server欺骗漏洞（CVE-2024-49040）：**该漏洞存在于Exchange Server的P2 FROM头验证中，可能导致电子邮件客户端显示伪造的发件人，微软已添加检测机制并会在邮件正文中添加免责声明。

🌐 **Azure CycleCloud远程代码执行漏洞（CVE-2024-43602）：**该漏洞允许拥有基本用户权限的攻击者更改Azure CycleCloud集群配置，获取根级权限并执行命令，微软目前将其可利用性评估为'利用可能性较低'。

2024 年 11 月 “补丁星期二 ”到了，微软发布了针对其各种产品中 89 个新安全问题的修复程序，其中两个问题–CVE-2024-43451 和 CVE-2024-49039 –正被攻击者积极利用。被利用的漏洞（CVE-2024-43451、CVE-2024-49039）CVE-2024-43451 是另一个漏洞，允许攻击者通过披露用户的 NTLMv2 哈希值（其中包含用户的身份验证凭据）来提升目标 Windows 和 Windows Server 机器的权限。然后，攻击者就可以利用这个哈希值，通过一种名为 “传递哈希值 ”的黑客技术，以用户身份对系统进行身份验证。“据我所知，这是 2024 年在野外被利用的第三个可以泄露用户 NTLMv2 哈希值的此类漏洞，”Tenable 高级研究工程师 Satnam Narang 告诉 Help Net Security。“虽然我们目前还没有深入了解 CVE-2024-43451 的野外利用情况，但有一点是肯定的：攻击者继续执着于发现和利用可以泄露 NTLMv2 哈希值的零日漏洞，因为它们可以用于验证系统，并有可能在网络内横向移动以访问其他系统。”用户交互–例如选择或检查包含漏洞的恶意文件–是触发漏洞的必要条件，但这显然不是攻击者的真正障碍。CVE-2024-49039是Windows任务调度程序中的一个漏洞，也被利用来提升被入侵系统的权限。“该漏洞允许 AppContainer 逃逸–允许低权限用户以中等完整性执行代码。趋势科技 “零日计划”（Zero Day Initiative）”威胁感知主管 Dustin Childs 说：“你仍然需要能够在系统上执行代码才能发生这种情况，但容器逃逸仍然相当有趣，因为它们在野外很少见。”Narang补充说：“一旦被利用，攻击者就可以提升权限，访问原本无法访问的资源，并执行代码，如远程过程调用（RPC）函数。”Narang补充说：“尽管我们知道这个漏洞是由包括谷歌威胁分析小组（TAG）成员在内的多人利用的，但我们对这个漏洞的实际利用情况还是没有太多的了解。根据这一归属，我们可以推断，存在一些高级持续威胁（APT）或与民族国家有关的活动与该漏洞的零日利用有关。”其他值得注意的已修补漏洞CVE-2024-43639 是一个有趣的漏洞： “微软表示，未经认证的攻击者可以使用特制的应用程序，利用 Windows Kerberos 中的加密协议漏洞，对目标执行远程代码。”与该漏洞相关的 CVSS 向量字符串显示，利用该漏洞无需用户操作。Childs指出：“由于Kerberos以提升的权限运行，这使得该漏洞成为受影响系统间的蠕虫式漏洞，”他建议Windows服务器的管理员尽快测试并部署修复程序。CVE 2024-5535 是 OpenSSL 在 2024 年 6 月披露的一个漏洞，已在 Microsoft Defender for Endpoint 中打上了补丁。“利用该漏洞需要攻击者通过电子邮件向受害者发送恶意链接，或说服用户点击链接，通常是通过电子邮件或即时信息交流工具中的诱导方式。在最坏的电子邮件攻击情况下，攻击者可以向用户发送特制的电子邮件，而不要求受害者打开、阅读或点击链接。微软表示：”这可能导致攻击者在受害者的机器上执行远程代码。CVE-2024-49019 是 Active Directory 证书服务（AD CS）中一个公开披露的权限提升漏洞，微软认为该漏洞更有可能被利用。Immersive Labs 首席网络安全工程师 Ben McCarthy 告诉 Help Net Security：“该漏洞存在于使用某些配置错误的证书模板管理 PKI（公钥基础设施）环境签发的证书中。”微软警告说：“成功利用该漏洞的攻击者可能获得域管理员权限，”微软还提供了针对不同 Windows Server 版本的修复程序，并制定了缓解措施。据微软称，CVE-2024-49040是微软Exchange服务器中的一个欺骗漏洞，该漏洞已被公开披露，并有一个概念验证漏洞。“该漏洞是由 P2 FROM 头验证的当前实现造成的，该验证发生在传输过程中。”该公司指出：“当前的实施允许一些不符合 RFC 5322 标准的 P2 FROM 标头通过，这可能导致电子邮件客户端（例如 Microsoft Outlook）将伪造的发件人显示为合法发件人。”“从 Exchange Server 11 月 2024 日安全更新（SU）开始，Exchange Server 可以检测并标记 P2 FROM 标头中包含潜在恶意模式的电子邮件”。此类电子邮件的正文将添加免责声明，内容如下“Microsoft Exchange Server 经常成为专门利用 Exchange 漏洞的威胁行为者的攻击目标。”Ivanti 安全产品管理副总裁 Chris Goettl 评论说：“从基于风险的优先级角度来看，PoC 级漏洞利用代码的公开披露和可用性使我们有理由将此漏洞视为关键漏洞。”Childs还特别指出了CVE-2024-43498，这是.NET和Visual Studio中的一个RCE漏洞，据微软称，该漏洞可通过向有漏洞的.NET网络应用程序发送 “特制请求或向有漏洞的桌面应用程序加载特制文件 ”来触发。他指出：“这是我说的公开漏洞之一，尽管微软并不这么认为，因为它看起来确实像这个问题。”最后，还有 CVE-2024 43602，这是微软 Azure CycleCloud（Azure 中高性能计算（HPC）环境的协调和管理工具）中的一个远程代码执行漏洞。“要利用这个漏洞，拥有基本用户权限的攻击者可以发送特制请求来更改 Azure CycleCloud 集群的配置，从而获得根级权限。因此，攻击者可以在实例内的任何Azure CycleCloud集群上执行命令，并在特定情况下泄露管理凭据，”Immersive Labs首席网络安全工程师娜塔莉-席尔瓦（Natalie Silva）说。“在撰写本文时，微软对这一漏洞的可利用性评估是’利用可能性较低’，尽管攻击复杂性被概括为’低’。”