微软在 Office 中披露了一个未修补的零日漏洞,如果成功利用该漏洞,可能会导致未经授权向恶意行为者泄露敏感信息。
该漏洞编号为 CVE-2024-38200(CVSS 评分:7.5),被描述为欺骗缺陷,影响以下 Office 版本 –
- Microsoft Office 2016 32 位版本和 64 位版本
- 适用于 32 位和 64 位版本的 Microsoft Office LTSC 2021
- 适用于 32 位和 64 位系统的 Microsoft 365 企业应用
- Microsoft Office 2019 32 位和 64 位版本
研究人员 Jim Rush 和 Metin Yunus Kandemir 因发现并报告该漏洞而受到赞誉。
微软在一份通报中表示:“在基于网络的攻击场景中,攻击者可能会托管一个网站(或利用接受或托管用户提供的内容的受感染网站),其中包含旨在利用该漏洞的特制文件。” 。
“但是,攻击者无法强迫用户访问该网站。相反,攻击者必须说服用户单击链接,通常是通过电子邮件或即时通讯消息中的诱惑,然后说服用户用户打开特制文件。”
CVE-2024-38200 的正式补丁预计将于 8 月 13 日发布,作为其每月补丁星期二更新的一部分,但这家科技巨头表示,它已经确定了一个替代修复程序,并已于 2024 年 7 月 30 日通过功能飞行启用。
它还指出,虽然客户已经在所有受支持的 Microsoft Office 和 Microsoft 365 版本上受到保护,但为了获得最佳保护,必须在几天后发布补丁的最终版本时更新到该补丁的最终版本。
微软已将该缺陷标记为“利用可能性较小”评估,并进一步概述了三种缓解策略 –
- 配置“网络安全:限制 NTLM:到远程服务器的传出 NTLM 流量”策略设置可以允许、阻止或审核从运行 Windows 7、Windows Server 2008 或更高版本的计算机到运行Windows操作系统
- 将用户添加到受保护的用户安全组,这会阻止使用 NTLM 作为身份验证机制
- 使用外围防火墙、本地防火墙并通过 VPN 设置阻止 TCP 445/SMB 从网络出站,以防止将 NTLM 身份验证消息发送到远程文件共享
此次披露之际,微软表示正在努力解决两个零日漏洞(CVE-2024-38202 和 CVE-2024-21302),这些漏洞可能被用来“解锁”最新的 Windows 系统并重新引入旧漏洞。
本周早些时候,Elastic Security Labs揭露了攻击者可以利用的各种方法来运行恶意应用程序,而不会触发 Windows 智能应用程序控制和 SmartScreen 警告,其中包括一种名为 LNK Stamping 的技术,该技术已在野外被利用了超过 6 年。