在Microsoft的11月份補丁星期二中,涉及一個已被攻擊者使用的安全漏洞CVE-2024-43451,由於只需要極少量的用戶互動,攻擊者就能存取受害者的NTLM2 hash,所以其實際危險性可能比CVSS 3.1的評級還要高。
CVE-2024-43451的危險
CVE-2024-43451讓攻擊者能通過製建一個檔案,只要送抵受害者的電腦,就能讓攻擊者有機會盜取NTLMv2 hash,NTLMv2是Microsoft Windows環境中被網絡認證協議所使用,存取NTLMv2 hash使攻擊者能進行pass-the-hash攻擊,能夠在不擁有真實憑證的情況下,冒充合法使用者在網路上進行身份驗證。雖然單獨CVE-2024-43451並非一個全面的攻擊,但網絡犯罪份子可以使用其他安全漏洞,而且手握NTLMv2 hash令攻擊變得更容易,而且根據描述,此安全漏洞已經被公開,並已偵測到有被利用的個案。
「極少量互動」是甚麼?
一般情況下都會假設如果用戶不打開惡意檔案,壞事並不會發生,但在這個安全漏洞的攻擊中並不成立,根據Microsoft提供的資料,即使用戶只點選檔案(單click左鍵)、檢查檔案(單click右鍵)或執行一些「除了開啟或執行之外的操作」,都會觸發安全漏洞。
11月份補丁的其他安全漏洞
在11月份補丁中還有另一個已被真實攻擊所利用的安全漏洞CVE-2024-49039,它容許攻擊者從AppContainer環境中逃脫,結果就是提升特權至Medium Integrity Level。另外還有兩個安全漏洞在這次補丁中被披露,它們是CVE-2024-49019和CVE-2024-49040,分別位於Active Directory Certificate Service和Exchange,前者能提升攻擊者權限,後者讓惡意電郵可以顯示虛假的發送人地址,幸好這兩個安全漏洞並未在真實攻擊中被發現。
養成更新堵塞漏洞好習慣
要保持安全,首先就是要為重要的軟件安裝更新(當然包括操作系統),而且很多利用軟件安全漏洞都始於電郵,所以可靠的保安方案和mail gateway上的防護都不能缺少。
資料來源:Kaspersky Blog
