补丁星期二揭露了 51 个漏洞

关注公众号网络研究观阅读全文

关注公众号网络研究观，获取更多内容。

微软将在2024 年 6 月补丁星期二解决 51 个漏洞，并且有证据表明其中只有一个漏洞被公开披露。 

发布的所有漏洞均未在CISA KEV上列出，尽管这种情况随时可能发生变化。

微软正在修补一个严重的远程代码执行 (RCE) 漏洞，并指出本月有七个浏览器漏洞是单独发布的，并不包括在总数中。

今天修补的唯一关键 RCE 是适用于所有当前 Windows 版本的CVE-2024-30080。要利用该漏洞，攻击者需要向 MSMQ 服务器发送特制的恶意数据包，补丁星期二观察者会知道该服务器是漏洞的长期来源。

与往常一样，微软指出 Windows 消息队列服务默认情况下未启用；与往常一样，Rapid7指出，包括 Microsoft Exchange 在内的许多应用程序都悄悄地将 MSMQ 作为其自身安装程序的一部分引入。

与典型的 MSMQ RCE 漏洞一样，CVE-2024-30080 获得了较高的 CVSSv3 基本分数，这是由于网络攻击媒介、攻击复杂性低以及缺乏所需权限。代码执行大概是在 SYSTEM 上下文中，尽管公告没有具体说明。

Microsoft Office 收到了针对一对通过恶意文件进行 RCE 漏洞的补丁。CVE -2024-30101是 Outlook 中的一个漏洞；尽管预览窗格是一个载体，但用户必须随后执行未指定的特定操作才能触发该漏洞，并且攻击者必须赢得竞争条件。

另一方面，CVE-2024-30104没有预览窗格作为载体，但最终的 CVSS 基本分数略高，为 7.8，因为利用完全依赖于用户打开恶意文件。

本月还发布了 SharePoint RCE CVE-2024-30100的补丁。该通报没有详细说明，代码利用的背景尚不清楚。该漏洞被描述为 CWE-426：不受信任的搜索路径；与 CWE-426 相关的许多（但不是全部）漏洞都会导致特权提升。

现在来看看完全不同的东西：CVE-2023-50868，它描述了 DNSSEC 中的拒绝服务漏洞。此漏洞存在于 DNSSEC 规范本身中，CVE 由 MITRE 代表 DNSSEC 分配。因此，Microsoft 的 DNSSEC 实现与其他实现一样容易受到攻击。

如果解析器使用 NSEC3 响应请求，攻击者可以通过要求 DNSSEC 签名区域的响应来耗尽 DNSSEC 验证 DNS 解析器上的 CPU 资源。

NSEC3 旨在为 DNSSEC 验证 DNS 解析器提供一种安全的方式来指示所请求的资源不存在。

在某些情况下，DNS 解析器必须执行数千次哈希函数迭代才能计算出 NSEC3 响应，而这正是此 DoS 漏洞的基础。所有当前版本的 Windows Server 今日都会收到补丁。

通常，当 Microsoft 发布安全公告并将漏洞描述为公开披露时，该公开披露是最近发生的。然而，就 CVE-2023-50868 而言，DNSSEC 中的漏洞于 2024 年 2 月 13 日首次公开披露。

该公告承认了德国国家应用网络安全研究中心 (ATHENE) 的四位学者，这也许很有趣，因为这几位研究人员还是 2024 年 3 月的一篇学术论文的作者，该论文淡化了 CVE-2024-50868 的 DoS 潜力。

这些研究人员于 2024 年 1 月发布了另一个 DNSSEC 漏洞CVE-2023-50387（也称为 KeyTrap），他们称该漏洞可能具有严重影响；Microsoft 在 2 月份的下一个预定机会修补了该漏洞。

今天发布的 CVE-2023-50868 公告并未提供有关为什么不早点修补此漏洞的进一步见解；一个合理的假设可能是，微软认为 CVE-2023-50868 的紧急程度/严重程度低于 CVE-2023-50387，尽管在微软专有的严重性等级中，这两个漏洞都被评为“重要”。

微软也可能不希望成为唯一一家没有补丁的主要服务器操作系统供应商。

本月微软产品的生命周期阶段没有重大变化。

7 月份，Microsoft SQL Server 2014 将结束扩展支持。

从 8 月份开始，微软仅保证为选择参与付费扩展安全更新计划的客户提供 SQL Server 2014 安全更新。