微软在2024年的第一个Patch Tuesday修补了49个安全漏洞,本月并未修补任何零时差漏洞,也仅有两个漏洞被列为重大(Critical)等级,分别是涉及Windows Hyper-V的远程程序攻击漏洞CVE-2024-20700,以及与Windows Kerberos有关的安全功能绕过漏洞CVE-2024-20674。
其中,CVE-2024-20674 的CVSS风险评分为9,是今年1月风险最高的安全漏洞。 Kerberos为一计算机网络授权协议,允许个人通讯于非安全的网络中,以安全的方式进行身份认证。 不管是微软的Windows、苹果的macOS,或是FreeBSD、Red Hat Enterprise Linux及Oracle Solaris都支持Kerberos。
根据微软的说明,该漏洞允许黑客借由建立中间人攻击或其它本地端网络欺骗技术,传送恶意的Kerberos消息至客户端受害机器上,并假装自己是Kerberos认证服务器,前提是黑客必须先能存取目标网络。 专注于漏洞风险管理的Rapid7软件工程师Adam Barnett解释,当黑客成功骗过目标对象时,就能绕过身份认证并假冒该名用户。
至于要攻陷CVE-2024-20700漏洞的黑客也必须先能存取受限制的网络,并赢得竞争条件。 虽然微软对于该漏洞的描述并不多,但基于它的CVSS风险评分只有7.5,却被列为重大等级,使得资安研究人员认为这理应是个攻击程序很复杂,但却影响重大的漏洞。
在其它的安全漏洞中,趋势科技Zero Day Initiative (ZDI)团队特别点名了仅被列为重要(Important)等级,CVSS风险评分却高达8.7的CVE-2024-0056漏洞。 这是个与Microsoft.Data.SqlClient及System.Data.SqlClient有关的安全功能绕过漏洞,允许黑客悄悄绕过客户端与服务器端的加密机制,可解密、读取与窜改TLS流量。
