微软 7 月更新修复了 143 个漏洞，其中包括两个被积极利用的漏洞

作为每月安全更新的一部分，微软发布了补丁来解决总共143 个安全漏洞，其中两个漏洞已被广泛利用。

143 个漏洞中有 5 个被评为严重，136 个被评为重要，4 个被评为中等严重程度。这些修复程序是对过去一个月内基于 Chromium 的 Edge 浏览器中已修复的33 个漏洞的补充。

以下是两个被利用的安全漏洞：

CVE-2024-38080（CVSS 评分：7.8）- Windows Hyper-V 特权提升漏洞
CVE-2024-38112（CVSS 评分：7.5）- Windows MSHTML 平台欺骗漏洞
微软在谈及 CVE-2024-38112 时表示：“要成功利用此漏洞，攻击者需要在利用之前采取额外措施来准备目标环境。攻击者必须向受害者发送一个恶意文件，受害者必须执行该文件。”

Check Point 安全研究员 Haifei Li 于 2024 年 5 月发现并报告了该漏洞，他表示，威胁行为者正在利用特制的 Windows Internet 快捷方式文件 (.URL)，点击后，通过调用已退役的 Internet Explorer (IE) 浏览器将受害者重定向到恶意 URL。

李解释说： “IE 上还有一个技巧可以隐藏恶意的 .HTA 扩展名。通过使用 IE 而不是 Windows 上更安全、更现代的 Chrome/Edge 浏览器打开 URL，攻击者在利用受害者计算机方面获得了显著优势，尽管该计算机运行的是现代的 Windows 10/11 操作系统。”

早在 2023 年 1 月，采用该攻击技术的工件就已上传到 VirusTotal 恶意软件扫描平台，这表明威胁行为者已经意识到该漏洞超过 1.5 年。

Check Point 告诉 The Hacker News，它观察到 .URL 样本被用于传播名为 Atlantida 的信息窃取程序，该程序在今年早些时候被Rapid7记录为恶意软件，可以窃取登录凭据、加密货币钱包数据、存储在网络浏览器中的信息、屏幕截图和硬件数据。

据称，窃取恶意软件活动于 2024 年 5 月中旬主要针对土耳其和越南的用户，利用受感染的 WordPress 网站通过 HTML 应用程序 (.HTA) 和 PowerShell 文件发起攻击，将 Atlántida 传送到受害者主机上。

Check Point 的初步调查结果显示，至少有两个可能不同的威胁组织正在同时发起攻击活动并利用 CVE-2024-38112，这被怀疑是出于经济动机的行动。

该公司表示：“我们发现一家芯片组制造商和一家开发更佳设计产品的公司 [成为攻击目标]。这两家公司都是高科技公司，这可能意味着存在供应链攻击或对该产品感兴趣。”

Tenable 高级研究员 Satnam Narang 表示：“CVE-2024-38080 是 Windows Hyper-V 中的一个特权提升漏洞。本地经过身份验证的攻击者可以利用此漏洞在初步攻陷目标系统后将特权提升至系统级别。”

虽然目前尚不清楚 CVE-2024-38080 滥用的具体细节，但 Narang 指出，这是自 2022 年以来 44 个 Hyper-V 漏洞中第一个被广泛利用的漏洞。

微软修补的另外两个安全漏洞在发布时已被列为已知漏洞。其中包括一种名为FetchBench的侧信道攻击（CVE-2024-37985，CVSS 评分：5.9），该攻击可让攻击者从基于 Arm 的系统上运行的特权进程中查看堆内存。

第二个公开披露的漏洞是CVE-2024-35264（CVSS 评分：8.1），这是一个影响.NET 和 Visual Studio 的远程代码执行漏洞。

雷德蒙德在一份公告中表示：“攻击者可以通过在处理请求主体时关闭 http/3 流来利用此漏洞，从而导致竞争条件。这可能导致远程代码执行。”

作为补丁星期二更新的一部分，还解决了影响 SQL Server Native Client OLE DB 提供程序的 37 个远程代码执行漏洞、20 个安全启动安全功能绕过漏洞、三个 PowerShell 特权提升漏洞以及 RADIUS 协议中的欺骗漏洞（CVE-2024-3596又名 BlastRADIUS）。

Rapid7 的首席产品经理 Greg Wiseman 表示：“[SQL Server 漏洞] 特别影响 OLE DB 提供程序，因此不仅需要更新 SQL Server 实例，还需要解决运行存在漏洞的连接驱动程序版本的客户端代码。”

“例如，攻击者可以使用社会工程策略欺骗经过身份验证的用户尝试连接到配置为返回恶意数据的 SQL Server 数据库，从而允许在客户端执行任意代码。”

补丁列表的最后一项是CVE-2024-38021（CVSS 评分：8.8），这是 Microsoft Office 中的一个远程代码执行漏洞，如果成功利用，可能允许攻击者获得高权限，包括读取、写入和删除功能。

Morphisec 于 2024 年 4 月下旬向微软报告了该漏洞，并表示该漏洞不需要任何身份验证，并且由于其零点击性质而构成严重风险。

Michael Gorelik表示： “攻击者可以利用此漏洞获得未经授权的访问，执行任意代码，并在无需任何用户交互的情况下造成重大损害。” “缺乏身份验证要求使其特别危险，因为它为广泛利用打开了大门。”

微软上个月底宣布将开始发布与云相关的安全漏洞的 CVE 标识符，以提高透明度。

其他供应商的软件补丁#
除微软外，过去几周其他供应商也发布了安全更新，以修复多个漏洞，其中包括：

Adobe
亚马逊网络服务
AMD
苹果
手臂
Broadcom（包括 VMware）
思科
Citrix
编码系统
D-Link
戴尔
Drupal
爱默生
F5
飞塔
Fortra FileCatalyst 工作流程
GitLab
谷歌安卓
谷歌浏览器
谷歌云
谷歌像素
谷歌穿戴操作系统
日立能源
生命值
惠普企业
IBM
伊万蒂
詹金斯
瞻博网络
联想
Linux 发行版Amazon Linux、Debian、Oracle Linux、Red Hat、Rocky Linux、SUSE和Ubuntu
联发科
三菱电机
MongoDB
Mozilla Firefox 和 Firefox ESR
网件
英伟达
OpenSSH
进步软件
威联通
高通
罗克韦尔自动化
三星
树液
施耐德电气
西门子
Splunk
Spring 框架
TP-Link
维利塔斯
WordPress和
飞涨
（该报道在发表后进行了更新，加入了 Check Point 的补充评论。）