近日，微軟披露了 Office 中一個(gè)未修補(bǔ)的零日漏洞，如果被成功利用，可能導(dǎo)致敏感信息在未經(jīng)授權(quán)的情況下泄露給惡意行為者。

該漏洞被追蹤為 CVE-2024-38200（CVSS 得分：7.5），被描述為一個(gè)欺騙漏洞，影響以下版本的 Office：

• 32 位版本和 64 位版本的 Microsoft Office 2016
• 32 位版本和 64 位版本的 Microsoft Office LTSC 2021
• 適用于 32 位和 64 位系統(tǒng)的 Microsoft 365 企業(yè)應(yīng)用程序
• 適用于 32 位和 64 位系統(tǒng)的 Microsoft Office 2019

微軟在一份公告中提到：在基于網(wǎng)絡(luò)的攻擊場(chǎng)景中，攻擊者可以托管一個(gè)網(wǎng)站，或利用一個(gè)接受或托管用戶提供內(nèi)容的受攻擊網(wǎng)站，該網(wǎng)站包含一個(gè)特制文件專門利用該漏洞。

但是，攻擊者無(wú)法強(qiáng)迫用戶訪問(wèn)該網(wǎng)站。相反，攻擊者必須誘導(dǎo)用戶點(diǎn)擊一個(gè)鏈接，通常是通過(guò)電子郵件或即時(shí)通信信息中的誘導(dǎo)方式，然后說(shuō)服用戶打開(kāi)特制文件。

CVE-2024-38200的正式補(bǔ)丁預(yù)計(jì)將于8月13日正式發(fā)布。不過(guò)微軟公司表示，他們已經(jīng)確定了一種替代修復(fù)的方法，并已從2024年7月30日起通過(guò) "功能飛行"（Feature Flighting）啟用了該修復(fù)方法。

該公司還指出，雖然客戶已經(jīng)在所有支持版本的微軟Office和微軟365上得到了保護(hù)，但為了最大程度的規(guī)避安全風(fēng)險(xiǎn)，用戶應(yīng)在最終版本的補(bǔ)丁發(fā)布后立即更新。

微軟對(duì)該漏洞進(jìn)行了 "不太可能被利用 "的評(píng)估，并進(jìn)一步概述了三種緩解策略--配置 "網(wǎng)絡(luò)安全 "和 "安全漏洞"：

• 配置 "網(wǎng)絡(luò)安全： 配置 "限制 NTLM：向遠(yuǎn)程服務(wù)器發(fā)出 NTLM 流量 "策略設(shè)置，允許、阻止或?qū)徲?jì)從運(yùn)行 Windows 7、Windows Server 2008 或更高版本的計(jì)算機(jī)向任何運(yùn)行 Windows 操作系統(tǒng)的遠(yuǎn)程服務(wù)器發(fā)出的 NTLM 流量。
• 將用戶添加到受保護(hù)用戶安全組，防止將 NTLM 用作身份驗(yàn)證機(jī)制
• 使用外圍防火墻、本地防火墻并通過(guò) VPN 設(shè)置阻止 TCP 445/SMB 從網(wǎng)絡(luò)向外發(fā)送，以防止向遠(yuǎn)程文件共享發(fā)送 NTLM 身份驗(yàn)證信息
• 在披露該漏洞的同時(shí)，微軟還表示其正在努力解決CVE-2024-38202 和 CVE-2024-21302兩個(gè)零日漏洞，這些漏洞可能被利用來(lái) "解除 "最新 Windows 系統(tǒng)的補(bǔ)丁，并重新引入舊漏洞。

上周，Elastic 安全實(shí)驗(yàn)室披露Windows智能應(yīng)用控制（Smart App Control）和智能屏幕（SmartScreen）存在一個(gè)設(shè)計(jì)漏洞，該缺陷允許攻擊者在不觸發(fā)安全警告的情況下啟動(dòng)程序，至少自2018年以來(lái)一直在被利用。

智能應(yīng)用控制是一項(xiàng)基于信任的安全功能，它使用微軟的應(yīng)用智能服務(wù)進(jìn)行安全預(yù)測(cè)，并利用Windows的代碼完整性功能來(lái)識(shí)別和阻止不受信任的（未簽名的）或潛在危險(xiǎn)的二進(jìn)制文件和應(yīng)用程序。

Elastic安全實(shí)驗(yàn)室認(rèn)為，這一漏洞多年來(lái)一直被濫用，因?yàn)樗麄冊(cè)赩irusTotal中發(fā)現(xiàn)了多個(gè)利用此漏洞的樣本，其中最早的提交時(shí)間超過(guò)六年。