微軟發布了2025年最后一個補丁星期二更新，修復了71個新的通用漏洞和暴露(CVE)。其中一個零日漏洞通過Windows通用日志文件系統驅動程序實現特權提升，成為本次更新的焦點。

這個被分配為CVE-2024-49138的漏洞由CrowdStrike高級研究團隊發現，源于堆緩沖區溢出，攻擊者可以利用不當的邊界檢查來覆蓋堆中的內存。

攻擊者可以相對容易地利用這個漏洞執行任意代碼并獲得系統級權限，從而進行更深入和影響更大的攻擊，如勒索軟件。微軟表示已經觀察到CVE-2024-49138在野外被利用。

補丁管理專家Action1的總裁兼聯合創始人Mike Walters解釋說："CLFS驅動程序是Windows的核心組件，應用程序用它來寫入事務日志。這個漏洞通過操縱驅動程序的內存管理，實現未經授權的特權提升，最終獲得系統級訪問權限 —— Windows中的最高權限。獲得系統權限的攻擊者可以執行諸如禁用安全保護、竊取敏感數據或安裝持久性后門等操作。"

Walters解釋說，任何使用標準CLFS組件的Windows系統(可追溯到2008年)都容易受到這個漏洞的影響，如果不迅速解決，可能會在企業環境中造成潛在的麻煩。

Ivanti安全產品副總裁Chris Goettl表示："已確認該漏洞在野外被利用，并且有關漏洞的一些信息已公開披露，但這些披露可能不包括代碼樣本。微軟將這個CVE評為重要，其CVSSv3.1評分為7.8。基于風險的優先級會將這個漏洞評為嚴重，這使得本月的Windows操作系統更新成為你的首要任務。"

關鍵問題

Zero Day Initiative的Dustin Childs觀察到，2024年微軟在12個月內推出了1000多個漏洞修復，是繼2020年之后第二高的數量。2024年12月的更新以16個嚴重漏洞的高數量而引人注目，這些漏洞無一例外都會導致遠程代碼執行(RCE)。

這些漏洞中，有9個影響Windows遠程桌面服務，3個存在于Windows輕量級目錄訪問協議(LDAP)，2個在Windows消息隊列(MSMQ)，以及各1個分別在Windows本地安全機構子系統服務(LSASS)和Windows Hyper-V中。

其中，Windows LDAP中的CVE-2024-49112可能需要最密切關注，它的CVSS評分高達9.8，影響所有從Windows 7和Server 2008 R2以來的Windows版本。如果不解決，未經身份驗證的攻擊者可以在底層服務器上實現RCE。

LDAP通常在充當Windows網絡中的域控制器的服務器上使用，為了使域正常運行，需要將此功能暴露給環境中的其他服務器和客戶端。

Immersive Labs首席安全工程師Rob Reeves解釋道："微軟表示攻擊復雜度較低，且不需要身份驗證。此外，他們建議立即停止通過互聯網或不受信任的網絡暴露這項服務。攻擊者可以對LDAP服務進行一系列精心設計的調用，并在該服務的上下文中獲得訪問權限，該服務將以系統權限運行。"

"由于機器帳戶的域控制器狀態，評估認為這將立即允許攻擊者獲取域內所有憑證哈希的訪問權限。還評估認為，攻擊者只需在域內的Windows主機上獲得低特權訪問權限或在網絡中獲得立足點，就可以利用這項服務 —— 從而完全控制域。"

Reeves告訴《計算機周刊》，威脅行為者，特別是勒索軟件團伙，將在未來幾天積極嘗試為這個漏洞開發利用程序，因為在Active Directory環境中完全控制域控制器可以讓他們訪問該域上的每臺Windows機器。

他警告說："使用帶有域控制器的Windows網絡的環境應該緊急修補這個漏洞，并確保積極監控域控制器是否有被利用的跡象。"

最后

最后，本月有一個鮮為人知的漏洞值得關注，那就是Microsoft Muzic中被追蹤為CVE-2024-49063的漏洞。

Ivanti的Goettl觀察到："Microsoft Muzic AI項目很有趣。CVE-2024-49063是Microsoft Muzic中的一個遠程代碼執行漏洞。要解決這個問題，開發人員需要從GitHub獲取最新版本來更新他們的實現。"

這個漏洞源于不受信任數據的反序列化，如果攻擊者能夠創建惡意負載來執行，就會導致遠程代碼執行。

對于不熟悉這個項目的人來說，Microsoft Muzic是一個正在進行的研究項目，旨在使用人工智能(AI)來理解和生成音樂。該項目的一些功能包括自動歌詞轉錄、歌曲寫作和歌詞生成、伴奏生成和歌聲合成。