CCERT月报：警惕VMware ESXi验证绕过漏洞-中国教育和科研计算机网CERNET

资讯

校园信息化

技术

资源与应用

产品与装备

信息服务

首页 > 教育信息化 > CERNET之窗 > CCERT

CCERT月报：警惕VMware ESXi验证绕过漏洞

2024-09-18 中国教育网络

　　近期，有国外的安全公司监测到一种新型的“Unicode二维码钓鱼”邮件，攻击者利用Unicode编码编制出文本形式的二维码图形。由于是字符组成的图形，图像识别系统无法有效识别，因而可以绕过反垃圾邮件的检测。用户要提高警惕，避免扫描来历不明的二维码，尤其是邮件附件中的二维码。

2024年7月-8月CCERT安全投诉事件统计

　　近期新增严重漏洞评述

　　微软2024年8月的例行安全更新共包含微软产品的安全漏洞90个。鉴于漏洞带来的风险，提醒用户尽快使用系统自带的更新功能进行安全更新。在这些漏洞中，需要特别关注的是：

　　Windows远程桌面服务远程代码执行漏洞（CVE-2024-38077）。该漏洞存在于Windows远程桌面许可管理服务（RDL）中，成功利用该漏洞的攻击者无需任何前置条件便可直接在目标服务器上执行任意操作。目前该漏洞的POC已被公布，但只是原型代码，无法直接运行利用。

　　Microsoft Project远程执行代码漏洞（CVE-2024-38189）。当用户在系统上打开恶意的Office Project文件，且系统禁用了从Internet阻止宏在Office文件中运行的策略，并且未启用VBA宏通知设置时，攻击者可以以当前用户的权限在系统上执行任意命令。目前该漏洞已经在网络上被利用。

　　Windows内核本地权限提升漏洞（CVE-2024-38106）。由于Windows Kernel中的敏感数据存储于加锁不恰当的内存区域漏洞，普通权限的本地用户可通过运行特制的程序来利用此漏洞，成功利用该漏洞可以获得目标系统的系统权限。目前该漏洞已发现在野利用。

　　Windows Power Dependency Coordinator本地权限提升漏洞（CVE-2024-38107）。此漏洞是Windows Power Dependency Coordinator中的释放后重用UAF漏洞。普通权限的本地用户通过运行特制的程序来利用此漏洞可以获得目标系统的SYSTEM权限。目前该漏洞已发现在野利用。

　　Jscript9脚本引擎内存损坏漏洞（CVE-2024-38178）。Windows Jscript9脚本引擎中存在类型混淆漏洞，攻击者可以引诱用户使用EDGE浏览器打开特定URL来利用该漏洞，成功利用该漏洞可以在用户系统上执行任意程序。此漏洞只会在EDGE浏览器启用了IE兼容模式时被利用，目前该漏洞已发现在野利用。

　　Windows WinSock辅助功能驱动权限提升漏洞（CVE-2024-38193）。Windows WinSock辅助功能驱动中存在释放后重用UAF漏洞，普通权限的本地用户通过运行特制的程序来利用此漏洞可以获得目标系统的SYSTEM权限。目前该漏洞已发现在野利用。

　　Windows Line Printer Daemon（LPD）服务远程代码执行漏洞（CVE-2024-38199）。

　　LPD服务中存在释放后重用UAF漏洞，未经身份认证的远程攻击者通过向共享的Windows行式打印机守护程序（LPD）服务发送特制的打印任务可利用此漏洞，成功利用此漏洞可能导致远程执行任意代码。目前该漏洞已被公开披露。

　　Windows TCP/IP远程代码执行漏洞（CVE-2024-38063）。Windows的TCP/IP驱动中存在整数溢出漏洞，远程的攻击者可以通过向Windows系统反复发送包含特制数据的IPv6数据包来触发该漏洞，成功利用该漏洞可以远程执行任意代码。

　　Google公司的Chrome浏览器中存在的一个安全漏洞（CVE-2024-7965）正在被在野利用。攻击者可以编制特制的网页引诱用户点击，成功利用漏洞的攻击者可以绕过系统安全限制在系统上执行任意代码。目前厂商已经在128.0.6613.84及之后的版本中修补了该漏洞。

　　Adobe Acrobat/Reader发布了版本更新，用于修补之前版本中存在的多个安全漏洞。成功利用相关漏洞的攻击者可以以当前用户的权限执行任意命令。目前厂商已经在新版本中修补了相关漏洞，建议用户使用软件自带的更新功能进行版本升级。

　　WordPress是目前世界上使用最为广泛的开源内容发布平台，互联网上有数百万的网站使用该平台搭建。WordPress的WPML多语言插件中存在一个严重漏洞（CVE-2024-6386），该漏洞影响4.6.13之前的WPML版本，建议各位网站管理员尽快查看自己使用的版本是否受到影响并及时升级补丁程序。

　　安全提示

　　上月爆出的VMware ESXi验证绕过漏洞（CVE-2024-37085）被发现正在被勒索病毒利用。建议相关管理员尽快升级自己所使用的ESXi版本，并将其管理端口隐藏在内网或防火墙后面。

　　供稿：郑先伟（中国教育和科研计算机网应急响应组）

　　责编：陈茜

　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。