微软将在2024 年 10 月补丁星期二解决 118 个漏洞，并且有证据表明发布的 5 个漏洞被野蛮利用和/或公开披露，尽管微软尚未将其中任何一个漏洞评定为严重漏洞。 

在这五个漏洞中，微软列出了两个已被利用的漏洞，这两个漏洞现在都已列入 CISA KEV 中。微软还在修补另外三个关键的远程代码执行 (RCE) 漏洞，本月已单独发布的三个浏览器漏洞未包括在总数中。

有些不寻常的是，我们将先看看发布的三个关键 RCE 中的两个，CVE-2024-43468和CVE-2024-43582，然后再讨论那些威胁性较小的零日漏洞。

微软 Configuration Manager 收到了针对微软发布的唯一漏洞的补丁，CVSS 基本评分为 9.8。尽管微软并未将其标记为公开披露或被广泛利用，但CVE-2024-43468的公告似乎描述了针对 微软 Configuration Manager 的无交互、低复杂度、未经身份验证的网络 RCE。

通过发送特制的恶意请求来实现利用，并导致在 Configuration Manager 服务器或其底层数据库的上下文中执行代码。相关更新安装在 Configuration Manager 控制台中，需要管理员执行特定操作，微软 在一系列通用文章中对此进行了详细描述。KB29166583中描述了更多信息和几个具体必需步骤。 

令人困惑的是，KB29166583 于一个多月前的 9 月 4 日首次发布，随后于 9 月 18 日取消发布并重新发布，完全没有提及才发布的CVE-2024-43468，而 KB29166583 显然可以修复该漏洞。防御者应该仔细阅读可用的文档，然后最好再读一遍。

任何 RDP 服务器关键 RCE 都值得快速修补。CVE -2024-43582是远程桌面协议服务器中的预认证关键 RCE。利用该漏洞需要攻击者向 Windows RPC 主机发送故意格式错误的数据包，并导致在 RPC 服务上下文中执行代码，尽管这在实践中意味着什么可能取决于包括目标资产上的RPC接口限制配置在内的因素。一线希望：攻击复杂性很高，因为攻击者必须赢得竞争条件才能不正确地访问内存。

谁不喜欢一个好的特权提升漏洞？疲惫的蓝队成员在看到全新公告上的“公开披露”字样时就知道答案了。CVE -2024-43583描述了 Winlogon 中的一个漏洞，该漏洞使攻击者在登录过程中通过滥用第三方输入法编辑器 (IME) 一路获得 SYSTEM 权限。补充KB5046254文章解释说，10 月 8 日的补丁在登录过程中禁用了非 微软 IME。在此基础上，对于无法立即应用的补丁的任何人，彻底删除第三方 IME 是一种缓解措施。

减少攻击面始终是值得考虑的，而删除第三方 IME 无疑可以实现这一目标。任何需要保留第三方 IME 的人仍然可以这样做，但是一旦应用了的补丁，该第三方 IME 将被禁用（仅在登录过程中），以防止利用CVE-2024-43583。虽然微软并没有完全说明，但对现有信息的唯一合理解释是，没有安装第一方/微软 IME 的资产在修补后仍然容易受到攻击，因为否则在尝试登录时将无法使用 IME。在混合语言或非英语环境中，使用第三方 IME 更有可能成为问题。围绕此漏洞的披露过程可能并不完全顺利；早在 9 月，一位被发现的研究人员就通过 X表达了对 MSRC 的不满。

CVE-2024-20659描述了 Hyper-V 中公开披露的安全功能绕过。微软 表示利用该漏洞的可能性较小，但非常复杂。攻击者必须既幸运又足智多谋，因为只有启用 UEFI 的虚拟机管理程序和某些未指定的硬件才容易受到攻击，并且利用该漏洞需要协调多种因素，然后适时重启。所有这些都需要先在同一网络上站稳脚跟，尽管在这种情况下，这可能意味着访问目标虚拟机管理程序上的 VM，而不是同一子网上的其他位置。成功利用漏洞的奖励是虚拟机管理程序内核被攻陷。

CVE-2024-43573是 MSHTML 中一个被广泛利用的欺骗漏洞，微软也知道该漏洞有可用的公开利用代码；该公告将 CWE-79 列为漏洞，即跨站点脚本 (XSS)。该公告没有提供更多细节，但通常安装“仅安全”更新的 Windows Server 2012/2012 R2 管理员应该注意，微软鼓励安装月度汇总以确保在这种情况下得到补救。CVSSv3 的低基础分数 6.5 反映了对用户交互的要求以及对完整性或可用性的影响不大；合理的假设可能是，利用该漏洞会导致敏感数据的不当泄露，但不会对目标资产产生其他直接影响。

微软以其闭源产品而闻名，但在过去大约 25 年里，它谨慎地大幅放松了对开源的立场。到目前为止，Windows 已经包含cURL组件近七年了，以及其他各种开源组件；微软确实会不时地修补这些组件，尽管修补速度并不总是像防御者希望的那样快。针对cURL 中公开披露的 RCE 漏洞CVE-2024-6197的修补程序延续了这一趋势。

微软针对CVE-2024-6197 的公告澄清说，Windows 不提供 libcurl，只提供 curl 命令行，但该命令行仍然易受攻击，因此需要修复。要利用该漏洞，用户必须连接到攻击者控制的恶意服务器，并且代码执行大概是在用户在 Windows 资产上启动 curl CLI 工具的上下文中。cURL项目针对 CVE-2024-6197 的公告最初于 7 月 24 日发布，并从他们的角度提供了进一步的详细信息。有趣的是，cURL 项目将利用漏洞的最可能结果描述为崩溃，并没有特别提到 RCE，尽管它谨慎地不排除未指定的“更严重结果”的可能性，这很可能意味着 RCE。微软 将此漏洞评为重要，与 CVSS 基本分数 8.8 一致。

CVE-2024-43572是公布的五个零日漏洞的补充，它描述了微软管理控制台中一种低复杂度、无需用户交互的 RCE。微软 知道公开的功能性漏洞代码和在野利用。当用户下载并打开特制的恶意 微软 Saved Console (MSC) 文件时，就会利用此漏洞，因此这里没有暗示管理控制台容易受到网络攻击。的补丁可以防止打开不受信任的 MSC 文件，尽管该公告没有描述 Windows 如何知道哪些是可信的，哪些不是。微软 已选择将 CVE-2024-43572 映射到 CWE-70，这是一个非常广泛的类别，MITRE 明确反对使用它。

修补的第三个关键 RCE 希望不会像它的同类那样令人担忧。CVE -2024-43488位于 Arduino 的 Visual Studio Code 扩展中，微软指出，此CVE记录的漏洞不需要客户采取任何行动即可解决。一个合理的问题是：这里的“无需采取行动”到底是什么意思？在公告中，微软声称已经完全缓解了漏洞，并且没有修复漏洞的计划。尽管这一切听起来令人困惑，但也许最重要的一点是，微软现在正在发布云服务 CVE，以努力提高透明度。目前尚不清楚该漏洞何时首次出现或何时得到补救，但无论如何，这是一个值得欢迎的细节扩展。

在微软生命周期新闻中，将终止对 Windows 11 22H2 家庭版、专业版、专业教育版、专业工作站版和 SE 版的支持，以及对Windows 11 21H2 教育版、企业版和企业多会话版的支持。Server 2012 和 Server 2012 R2 进入 ESU 的第二年。

Windows Embedded POSReady（POS 代表销售点）收到了其最后的 ESU 更新，这可能是整个 Windows 7 的最后一搏。除了修补的关键 RCE CVE-2024-43468之外，仍在使用Configuration Manager 2303 的Intune 管理员应该立即升级到较新的版本，因为支持将于本周四（有点不寻常）结束。