微软披露Office最新零日漏洞,可能导致数据泄露;

于 2024-08-13 08:43:37 发布
阅读量69 收藏 4
点赞数 3
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45840241/article/details/141152252
版权

图片

近日,微软披露了 Office 中一个未修补的零日漏洞,如果被成功利用,可能导致敏感信息在未经授权的情况下泄露给恶意行为者。

该漏洞被追踪为 CVE-2024-38200(CVSS 得分:7.5),被描述为一个欺骗漏洞,影响以下版本的 Office

  • 32 位版本和 64 位版本的 Microsoft Office 2016

  • 32 位版本和 64 位版本的 Microsoft Office LTSC 2021

  • 适用于 32 位和 64 位系统的 Microsoft 365 企业应用程序

  • 适用于 32 位和 64 位系统的 Microsoft Office 2019

微软在一份公告中提到:在基于网络的攻击场景中,攻击者可以托管一个网站,或利用一个接受或托管用户提供内容的受攻击网站,该网站包含一个特制文件专门利用该漏洞。

但是,攻击者无法强迫用户访问该网站。相反,攻击者必须诱导用户点击一个链接,通常是通过电子邮件或即时通信信息中的诱导方式,然后说服用户打开特制文件。

CVE-2024-38200的正式补丁预计将于8月13日正式发布。不过微软公司表示,他们已经确定了一种替代修复的方法,并已从2024年7月30日起通过 "功能飞行"(Feature Flighting)启用了该修复方法。

该公司还指出,虽然客户已经在所有支持版本的微软Office和微软365上得到了保护,但为了最大程度的规避安全风险,用户应在最终版本的补丁发布后立即更新。

微软对该漏洞进行了 "不太可能被利用 "的评估,并进一步概述了三种缓解策略--配置 "网络安全 "和 "安全漏洞":

  • 配置 "网络安全:配置 "限制 NTLM:向远程服务器发出 NTLM 流量 "策略设置,允许、阻止或审计从运行 Windows 7、Windows Server 2008 或更高版本的计算机向任何运行 Windows 操作系统的远程服务器发出的 NTLM 流量。

  • 将用户添加到受保护用户安全组,防止将 NTLM 用作身份验证机制

  • 使用外围防火墙、本地防火墙并通过 VPN 设置阻止 TCP 445/SMB 从网络向外发送,以防止向远程文件共享发送 NTLM 身份验证信息

在披露该漏洞的同时,微软还表示其正在努力解决CVE-2024-38202 和 CVE-2024-21302两个零日漏洞,这些漏洞可能被利用来 "解除 "最新 Windows 系统的补丁,并重新引入旧漏洞。

上周,Elastic 安全实验室披露Windows智能应用控制(Smart App Control)和智能屏幕(SmartScreen)存在一个设计漏洞,该缺陷允许攻击者在不触发安全警告的情况下启动程序,至少自2018年以来一直在被利用。

智能应用控制是一项基于信任的安全功能,它使用微软的应用智能服务进行安全预测,并利用Windows的代码完整性功能来识别和阻止不受信任的(未签名的)或潜在危险的二进制文件和应用程序。

Elastic安全实验室认为,这一漏洞多年来一直被滥用,因为他们在VirusTotal中发现了多个利用此漏洞的样本,其中最早的提交时间超过六年。

文章来源 :freebuf、荔枝新闻

亿林等保
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
微软披露Office最新零日漏洞可能导致数据泄露
FreeBuf_的博客
08-12 232
披露漏洞的同时,微软还表示其正在努力解决CVE-2024-38202 和 CVE-2024-21302两个零日漏洞,这些漏洞可能被利用来 "解除 "最新 Windows 系统的补丁,并重新引入旧漏洞微软在一份公告中提到:在基于网络的攻击场景中,攻击者可以托管一个网站,或利用一个接受或托管用户提供内容的受攻击网站,该网站包含一个特制文件专门利用该漏洞。该公司还指出,虽然客户已经在所有支持版本的微软Office微软365上得到了保护,但为了最大程度的规避安全风险,用户应在最终版本的补丁发布后立即更新。
企业面对零日漏洞真的就毫无办法吗
m0_66326520的博客
04-22 634
零日漏洞是指软件、固件、操作系统、Web应用程序、网站或SaaS平台等内容中,未被发现的漏洞,攻击者利用零日漏洞来执行的攻击行为即为零日攻击,其目标是将恶意软件下载到攻击目标设备上,然后利用该设备发送勒索软件,或通过用户的网络寻找其它易受攻击的目标。
2023年十大零日漏洞攻击
网络安全
01-09 1753
2023年,随着勒索软件和APT组织纷纷调整攻击策略,零日漏洞攻击快速升温并有望在2024年延续这一趋势。根据谷歌威胁分析小组今年7月发布的报告,2021年野外利用零日漏洞数量(69个)创下历史新高后,2022年有所下滑,但2023年随着重大零日漏洞利用事件的大幅增长,零日漏洞攻击重新升温,从商业间谍到勒索软件攻击,零日漏洞被广泛使用。零日漏洞利用对攻击者的财力或技能有着很高要求,但是“零日漏洞+供应链攻击”产生的倍增效应使得零日漏洞攻击的“投入产出比”极速飙升。
ios 修复 内存泄露_微软8月周二补丁日修复120个漏洞含两个零日
weixin_39994270的博客
11-27 249
今天是微软的2020年8月星期二补丁日,虽然对于大多数人来说这只是普通的一天,但世界各地的Windows管理员今天又要发挥自己的作用了。随着2020年8月星期二补丁安全更新的发布,微软发布了一个Windows 10服务堆栈更新公告,并修复了Microsoft产品中的120个漏洞。在这些漏洞中,有17个被分类为危急,在103个被分类为重要。此版本是微软有史以来发布的第三大补丁周二更新,第二...
Puma遭遇勒索攻击致数据泄漏、微软修复48个安全漏洞|2月9日全球网络安全热点
qcloud_security的博客
02-09 1128
安全资讯报告 Puma在Kronos勒索软件攻击后遭受数据泄露 运动服装制造商Puma在2021年12月对其北美劳动力管理服务提供商之一Kronos发起勒索软件攻击后,遭到数据泄露。 本月早些时候向几家司法部长办公室提交的数据泄露通知称,攻击者还在加密数据之前从Kronos私有云(KPC)云环境中窃取了属于Puma员工及其家属的个人信息。 袭击发生后,一名在事件中受到影响的Kronos客户告诉BleepingComputer,他们不得不重新使用纸和铅笔来削减支票并监控计时。K...
微软修复了两个用于攻击的零日漏洞
kafankeji的博客
09-14 48
我们在这项服务中发现了一个漏洞,攻击者可以通过这个漏洞入侵目标系统,从而在同一台机器上获得管理员权限。其中三个影响Visual Studio的分别是CVE-2023-36793, CVE-2023-36796和CVE-2023-36792。微软显然很担心CVE-2023-36761的潜在影响,因为它不仅为当前版本的Word提供补丁,还为Word 2013提供补丁,Word 2013已于2023年4月到期。第一个是CVE-2023-36761,这是一个已被公开披露的Microsoft Word信息泄露漏洞
tracker服务器列表2020_它来了!微软2020年2月星期二补丁日修复99漏洞,含积极被利用IE零日远程攻击漏洞补丁...
weixin_39887748的博客
11-14 335
微软2020年2月星期二补丁日已发布,也是Windows 7用户第一次不会获得免费的安全更新。IT管理员忙碌的一天开始了。随着2020年2月安全更新的发布,Microsoft已发布Flash Player的一个公告,并修复了Microsoft产品中的99个补丁。在这些漏洞中,有10个被分类为危急,87个被分类为重要,2个被分类为中等。此次更新中包括一个针对CVE-2020-0674 In...
又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析
weixin_33910137的博客
09-19 472
本文讲的是又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析, 早在2015年,FireEye曾发布过两次关于Office的Encapsulated PostScript (EPS)图形文件的漏洞攻击的研究分析,其中一次属于零日漏洞攻击。 今年3月开始,FireEye再一次在微软Office产品中陆续发现三个新的零日漏洞,发现时这些漏洞已被...
微软官方office365办公开发平台介绍最新卡通风格ppt模板.rar
09-10
开发者可以通过这个平台利用Microsoft Graph来访问Office365的数据,例如用户信息、日历事件、邮件内容等,从而创建高度定制化的办公解决方案。 "最新卡通风格ppt模板"则反映了Office365对现代设计趋势的适应性。...
office_Office_fartherwkb_办公_微软office_
10-01
微软office安装与注册系统,可以实现2010-2019所有版本安装与注册,功能强大
微软零信任成熟度模型
12-29
讲述微软在零信任方面的建设,成熟度模型,值得学习。
微软2015年漏洞报告详情,请查看
11-14
Internet Explorer浏览器是微软推出的浏览器产品,然而在2015年,微软公开披露了多个Internet Explorer浏览器的漏洞,这些漏洞可能会被攻击者利用来攻击用户的浏览器,导致数据泄露或其他安全问题。 3. CVE漏洞 ...
JAVA-POI, 最新版,提供微软office最全面的API
10-25
JAVA-POI是Java开发中的一个开源库,主要用于读取、创建、修改Microsoft Office文档,如Excel、Word和PowerPoint。这个2014年的稳定版本(poi-3.10.1)提供了对微软Office格式的强大支持,使得Java开发者能够以编程...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8382
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
去去去去去去去去去前期前期前期
08-12
去去去去去去去去去前期前期前期前期前期前期
计组P1 单周期MIPS处理器
最新发布
08-12
实验报告+项目 Verilog语言
Spring Boot原创歌曲分享平台.zip
08-12
该平台严格按照需求分析制作相关模块,并利用所学知识尽力完成,但是本人由于学识浅薄,无法真正做到让该程序可以投入市场使用,仅仅简单实现部分功能,希望日后还能改善。 本平台具有以下优点: 该平台具有较高的适用性,选用B/S结构,可以在绝大部分个人平台上使用该平台。 平台将用户权限进行划分,管理员和用户都能看到及操作的信息不一样,两者具备不同的操作权限。 该平台操作界面简单明了,大部分人都可以正常使用。 但也存在以下问题需要改进: 运行时窗口不能被刷新,可以改进。 平台过于简单,显示的信息有限。 不能添加多个管理员账号,如果可以则将利于发展原创歌曲分享规模,便于原创歌曲分享信息集中管理。 不能实时预约接待消息,容易被忽视,不利于管理员服务用户。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值