大工网安告[2024]039

一、 漏洞信息

本月，微软共发布了72个漏洞的补丁程序，修复了Windows通用日志文件系统、Windows 轻量级目录访问协议(LDAP)、Windows 远程桌面服务等产品中的漏洞。经研判，以下23个重要漏洞值得关注（包括17个紧急漏洞、6个重要漏洞），如下表所示：

以下6个漏洞被微软标记为“Exploitation More Likely”，这代表这些漏洞更容易被利用：

❖ CVE-2024-49070 Microsoft SharePoint远程代码执行漏洞

❖ CVE-2024-49122 Microsoft 消息队列(MSMQ)远程代码执行漏洞

❖ CVE-2024-49114 Windows Cloud Files Mini Filter Driver权限提升漏洞

❖ CVE-2024-49093 Windows Resilient文件系统(ReFS) 权限提升漏洞

❖ CVE-2024-49088 Windows通用日志文件系统驱动程序权限提升漏洞

❖ CVE-2024-49090 Windows通用日志文件系统驱动程序权限提升漏洞

以下漏洞被微软标记为“Exploitation Detected”：

❖ CVE-2024-49138 Windows通用日志文件系统驱动程序权限提升漏洞

鉴于这些漏洞危害较大，建议大家尽快安装更新补丁。

二、 漏洞描述

经研判，以下23个漏洞值得关注，漏洞的详细信息如下：

1、 CVE-2024-49138 Windows 通用日志文件系统驱动程序权限提升漏洞

该漏洞是由于Windows Common Log File System 驱动中的边界错误导致的堆缓冲区溢出，本地用户可以利用此漏洞执行任意代码并获得SYSTEM权限。该漏洞已存在在野利用。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49138

2、 CVE-2024-49122 Microsoft 消息队列(MSMQ)远程代码执行漏洞

这是一个Use-after-free 漏洞，存在于Microsoft Message Queuing (MSMQ) 中。远程攻击者可以利用这个漏洞赢得竞争条件，并在目标系统上执行任意代码。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49122

3、 CVE-2024-49105 远程桌面客户端远程代码执行漏洞

这个漏洞的存在是由于Remote Desktop Client 中的不当访问控制，导致远程攻击者可以利用该漏洞执行任意代码。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49105

4、 CVE-2024-49124 轻量级目录访问协议(LDAP) 客户端远程代码执行漏洞

该漏洞是由于在处理LDAP 请求时存在一个竞争条件，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49124

5、 CVE-2024-49127 Windows 轻量级目录访问协议(LDAP) 远程代码执行漏洞

该漏洞是由于LDAP 客户端在处理请求时存在Use After Free 错误，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49127

6、 CVE-2024-49118 Microsoft 消息队列(MSMQ) 远程代码执行漏洞

该漏洞是由于MSMQ 在处理消息队列时存在Use After Free 错误，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49118

7、 CVE-2024-49123 Windows 远程桌面服务远程代码执行漏洞

该漏洞是由于Windows Remote Desktop Services 在处理远程会话时存在敏感数据存储在未正确锁定的内存中，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49123

8、 CVE-2024-49116、CVE-2024-49132、CVE-2024-49120Windows 远程桌面服务远程代码执行漏洞

该漏洞是由于Remote Desktop Services 在处理远程会话时存在Use AfterFree 错误，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49116

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49132

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49120

9、CVE-2024-49112 Windows轻量级目录访问协议(LDAP) 远程代码执行漏洞

该漏洞是由于整数溢出或回绕导致的，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49112

10、CVE-2024-49119 Windows 远程桌面服务远程代码执行漏洞

该漏洞是由于Remote Desktop Services 使用不兼容类型访问资源导致的，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49119

11、CVE-2024-49108、CVE-2024-49128Windows远程桌面服务远程代码执行漏洞

该漏洞涉及两个问题类型：敏感数据存储在未正确锁定的内存中以及UseAfter Free。这些问题可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49108

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49128

12、CVE-2024-49126 Windows 本地安全机构子系统服务(LSASS) 远程代码执行漏洞

该漏洞是由于Windows Local Security Authority Subsystem Service (LSASS) 在处理安全验证时存在Use After Free 错误以及敏感数据存储在未正确锁定的内存中，导致远程代码执行。攻击者可以利用这些漏洞在目标系统上远程执行任意代码，从而完全控制系统。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49126

13、CVE-2024-49106、CVE-2024-49115 Windows 远程桌面服务远程代码执行漏洞

该漏洞是由于Windows Remote Desktop Services 在处理远程会话时存在Use After Free 错误以及涉及敏感数据存储在未正确锁定的内存中，导致远程代码执行。攻击者可以利用这些漏洞在目标系统上远程执行任意代码，从而完全控制系统。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49106

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49115

14、CVE-2024-49117 Windows Hyper-V远程代码执行漏洞

Windows Hyper-V 在处理虚拟机操作时返回错误的状态码，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49117

15、CVE-2024-49114 Windows Cloud Files Mini Filter Driver 权限提升漏洞

该漏洞允许远程攻击者执行欺骗攻击。该漏洞的存在是由于对用户提供的数据进行了不正确的处理。远程攻击者可以欺骗 Microsoft Exchange 客户端界面的页面内容。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49114

16、CVE-2024-49088 Windows 通用日志文件系统驱动程序权限提升漏洞

该漏洞是由于Windows Common Log File System Driver 存在缓冲区过度读取（CWE-126）错误，这可能导致权限提升。攻击者可以利用这个漏洞提升权限，从而在系统上执行更高权限级别的操作。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49088

17、CVE-2024-49090 Windows 通用日志文件系统驱动程序权限提升漏洞

该漏洞是由于Windows Common Log File System Driver 存在不信任的指针解引用（CWE-822）错误，这可能导致权限提升。攻击者可以利用这个漏洞提升权限，从而在系统上执行更高权限级别的操作。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49090

18、CVE-2024-49093 Windows Resilient 文件系统(ReFS)权限提升漏洞

该漏洞是由于Windows Resilient File System (ReFS) 在处理文件系统操作时存在数值类型转换错误（CWE-681），这可能导致权限提升。攻击者可以利用这个漏洞提升权限，从而在系统上执行更高权限级别的操作。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49093

19、CVE-2024-49070 Microsoft SharePoint 远程代码执行漏洞

该漏洞是由于Microsoft SharePoint 在处理数据反序列化时存在不信任数据的反序列化（CWE-502）错误，这可能导致远程代码执行。攻击者可以利用这个漏洞在目标系统上远程执行任意代码，从而完全控制系统。

参考链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2024-49070

三、 处置建议

可以采用以下官方解决方案及缓解方案来防护此漏洞：

Windows自动更新，Windows系统默认启用MicrosoftUpdate，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”

2、选择“更新和安全”，进入“Windows更新”（WindowsServer2012以及WindowsServer2012R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）

3、选择“检查更新”，等待系统将自动检查并下载可用更新

4、重启计算机，安装更新。

系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

手动安装补丁

另外，对于不能自动更新的系统版本，可参考以下链接下载适用于该系统的12月补丁并安装：

https://msrc.microsoft.com/update-guide/releaseNote/2024-Dec