Microsoft Remote Desktop Client Remote Code Execution Vulnerability

• 2024-10-15
• 陈应南

2024年10月第二周 资安威胁周报 【重要等级：严重风险】   弱点名称 Microsoft Remote Desktop Client Remote Code Execution Vulnerability ►      摘要：Microsoft远端桌面连线程式存在一Use-after-free漏洞，当使用有漏洞的远端桌面客户端连至攻击者控制的服务器时，攻击者可以对用户端主机发动远端代码执行攻击。(RCE) ►      CVE 编号：CVE-2024-43599 ►      受影响厂商：Microsoft ►      受影响产品：Microsoft Remote Desktop Client            ►   Windows Server 2012 R2 (Server Core installation)受影响，升级至6.3.9600.22221以上版本修正。            ►   Windows Server 2012 R2受影响，升级至6.3.9600.22221以上版本修正。            ►   Windows Server 2012 (Server Core installation)受影响，升级至6.2.9200.25118以上版本修正。            ►   Windows Server 2012受影响，升级至6.2.9200.25118以上版本修正。            ►   Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)受影响，升级至6.1.7601.27366以上版本修正。            ►   Windows Server 2008 R2 for x64-based Systems Service Pack 1受影响，升级至6.1.7601.27366以上版本修正。            ►   Windows Server 2016 (Server Core installation)受影响，升级至10.0.14393.7428以上版本修正。            ►   Windows Server 2016受影响，升级至10.0.14393.7428以上版本修正。            ►   Windows 10 Version 1607 for x64-based Systems受影响，升级至10.0.14393.7428以上版本修正。            ►   Windows 10 Version 1607 for 32-bit Systems受影响，升级至10.0.14393.7428以上版本修正。            ►   Windows 10 for x64-based Systems受影响，升级至10.0.10240.20796以上版本修正。            ►   Windows 10 for 32-bit Systems受影响，升级至10.0.10240.20796以上版本修正。            ►   Windows 11 Version 24H2 for x64-based Systems受影响，升级至10.0.26100.2033以上版本修正。            ►   Windows 11 Version 24H2 for ARM64-based Systems受影响，升级至10.0.26100.2033以上版本修正。            ►   Windows Server 2022, 23H2 Edition (Server Core installation)受影响，升级至10.0.25398.1189以上版本修正。            ►   Windows 11 Version 23H2 for x64-based Systems受影响，升级至10.0.22631.4317以上版本修正。            ►   Windows 11 Version 23H2 for ARM64-based Systems受影响，升级至10.0.22631.4317以上版本修正。            ►   Windows 10 Version 22H2 for 32-bit Systems受影响，升级至10.0.19045.5011以上版本修正。            ►   Windows 10 Version 22H2 for ARM64-based Systems受影响，升级至10.0.19045.5011以上版本修正。            ►   Windows 10 Version 22H2 for x64-based Systems受影响，升级至10.0.19045.5011以上版本修正。            ►   Windows 11 Version 22H2 for x64-based Systems受影响，升级至10.0.22621.4317以上版本修正。            ►   Windows 11 Version 22H2 for ARM64-based Systems受影响，升级至10.0.22621.4317以上版本修正。            ►   Windows 10 Version 21H2 for x64-based Systems受影响，升级至10.0.19044.5011以上版本修正。            ►   Windows 10 Version 21H2 for ARM64-based Systems受影响，升级至10.0.19044.5011以上版本修正。            ►   Windows 10 Version 21H2 for 32-bit Systems受影响，升级至10.0.19044.5011以上版本修正。            ►   Windows 11 version 21H2 for ARM64-based Systems受影响，升级至10.0.22000.3260以上版本修正。            ►   Windows 11 version 21H2 for x64-based Systems受影响，升级至10.0.22000.3260以上版本修正。            ►   Windows Server 2022 (Server Core installation)受影响，升级至10.0.20348..2762以上版本修正。            ►   Windows Server 2022受影响，升级至10.0.20348..2762以上版本修正。            ►   Windows Server 2019 (Server Core installation)受影响，升级至10.0.17763.6414以上版本修正。            ►   Windows Server 2019受影响，升级至10.0.17763.6414以上版本修正。            ►   Windows 10 Version 1809 for x64-based Systems受影响，升级至10.0.17763.6414以上版本修正。            ►   Windows 10 Version 1809 for 32-bit Systems受影响，升级至10.0.17763.6414以上版本修正。 ►      修补说明：Microsoft于2024/10/08发布此漏洞。（详细请参考：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43599） Microsoft Remote Desktop Protocol Server Remote Code Execution Vulnerability ►      摘要：Microsoft的远端桌面代理协定服务器存在一Use-after-free漏洞，未经身份验证的攻击者可发送特制封包至 WebSocket监听埠，导致服务器以 WebSocket 服务之权限发生远端代码执行攻击。(RCE) ►      CVE 编号：CVE-2024-43582 ►      受影响厂商：Microsoft ►      受影响产品：Microsoft Remote Desktop Protocol            ►   Windows 11 Version 22H2 for x64-based Systems受影响，升级至10.0.22621.4317以上版本修正。            ►   Windows 11 Version 22H2 for ARM64-based Systems受影响，升级至10.0.22621.4317以上版本修正。            ►   Windows 10 Version 21H2 for x64-based Systems受影响，升级至10.0.19044.5011以上版本修正。            ►   Windows 10 Version 21H2 for ARM64-based Systems受影响，升级至10.0.19044.5011以上版本修正。            ►   Windows 10 Version 21H2 for 32-bit Systems受影响，升级至10.0.19044.5011以上版本修正。            ►   Windows 11 Version 24H2 for x64-based Systems受影响，升级至10.0.26100.2033以上版本修正。            ►   Windows 11 Version 24H2 for ARM64-based Systems受影响，升级至10.0.26100.2033以上版本修正。            ►   Windows Server 2022, 23H2 Edition (Server Core installation)受影响，升级至10.0.25398.1189以上版本修正。            ►   Windows 11 Version 23H2 for x64-based Systems受影响，升级至10.0.22631.4317以上版本修正。            ►   Windows 11 Version 23H2 for ARM64-based Systems受影响，升级至10.0.22631.4317以上版本修正。            ►   Windows 10 Version 22H2 for 32-bit Systems受影响，升级至10.0.19045.5011以上版本修正。            ►   Windows 10 Version 22H2 for ARM64-based Systems受影响，升级至10.0.19045.5011以上版本修正。            ►   Windows 10 Version 22H2 for x64-based Systems受影响，升级至10.0.19045.5011以上版本修正。            ►   Windows 11 version 21H2 for ARM64-based Systems受影响，升级至10.0.22000.3260以上版本修正。            ►   Windows 11 version 21H2 for x64-based Systems受影响，升级至10.0.22000.3260以上版本修正。            ►   Windows Server 2022 (Server Core installation)受影响，升级至10.0.20348..2762以上版本修正。            ►   Windows Server 2022受影响，升级至10.0.20348..2762以上版本修正。            ►   Windows Server 2019 (Server Core installation)受影响，升级至10.0.17763.6414以上版本修正。            ►   Windows Server 2019受影响，升级至10.0.17763.6414以上版本修正。            ►   Windows 10 Version 1809 for x64-based Systems受影响，升级至10.0.17763.6414以上版本修正。            ►   Windows 10 Version 1809 for 32-bit Systems受影响，升级至10.0.17763.6414以上版本修正。 ►      修补说明：Microsoft于2024/10/08发布此漏洞。（详细请参考：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43582） Fortinet：Format String Bug in fgfmd (Critical) ►      摘要：FortiOS fgfmd daemon中存在格式化字串漏洞，未经身分验证的远端攻击者可发送特制的请求，使其执行任意命令。 ►      CVE 编号：CVE-2024-23113 ►      受影响厂商：Fortinet ►      受影响产品：FortiOS、FortiPAM、FortiProxy、FortiWeb            ►   FortiOS 7.4.0至7.4.2受影响、需升级至7.4.3以上版本修正。            ►   FortiOS 7.2.0至7.2.6受影响、需升级至7.2.7以上版本修正。            ►   FortiOS 7.0.0至7.0.13受影响、需升级至7.0.14以上版本修正。            ►   FortiPAM 1.0、1.1和1.2版本均受影响、需升级或转移至1.3版本修正。            ►   FortiProxy 7.4.0至7.4.2受影响、需升级至7.4.3以上版本修正。            ►   FortiProxy 7.2.0至7.2.8受影响、需升级至7.2.9以上版本修正。            ►   FortiProxy 7.0.0至7.0.15受影响、需升级至7.0.16以上版本修正。            ►   FortiWeb 7.4.0至7.4.2受影响、需升级至7.4.3以上版本修正。 ►      修补说明：Fortinet于2024/10/12更新此漏洞。（详细请参考：https://www.fortiguard.com/psirt/FG-IR-24-029） Fortinet：OpenSSH regreSSHion Attack (CVE-2024-6387) ►      摘要：基于Glibc之Linux系统的Open Secure Shell（OpenSSH）存在一安全漏洞，未经验证的远端攻击者可攻击此漏洞，于具漏洞主机执行任意程式。(参考文件) ►      CVE 编号：CVE-2024-6387 ►      受影响厂商：Fortinet ►      受影响产品：FortADC、FortiAIOps、FortiAnalyzer、FortiAnalyzer-BigData、FortiAuthenticator、FortiDDoS、FortiDDoS-F、FortiExtender、FortiMail、FortiManager、FortiManager Cloud、FortiNDR、FortiRecorder、FortiSwitch、FortiVoice、FortiWeb            ►   牵涉产品品项较多，详细资讯请见原厂公告。 ►      修补说明：Fortinet于2024/10/12更新此漏洞。（详细请参考：https://www.fortiguard.com/psirt/FG-IR-24-258） Palo Alto：Multiple Vulnerabilities in Expedition Lead to Exposure of Firewall Credentials (Critical) ►      摘要：Palo Alto Networks Expedition 存在数种漏洞，允许攻击者读取 Expedition 数据库内容和任意档案，并将任意档案写入 Expedition 系统的临时储存位置。这些重要资讯，包含用户名、明文密码、设备设定和 PAN-OS 防火墙的设备 API keys等。 ►      CVE 编号：CVE-2024-9463、CVE-2024-9464、CVE-2024-9465、CVE-2024-9466、CVE-2024-9467 ►      受影响厂商：Palo Alto ►      受影响产品：Palo Alto Expedition            ►   Palo Alto Expedition 低于1.2.96版本均受影响，需升级至1.2.96以上版本修正。 ►      修补说明：Palo Alto于2024/10/10发布此漏洞。（详细请参考：https://security.paloaltonetworks.com/PAN-SA-2024-0010） Palo Alto：Firewall Denial of Service (DoS) via a Maliciously Crafted Packet ►      摘要：Palo Alto Networks PAN-OS 存在一Out-of-bounds Write漏洞，未经身份验证的攻击者可发送特制封包，从而使 PAN-OS 当机，造成服务组绝状态(DoS)。若多次发生此状况，将使 PAN-OS 进入维护模式。 ►      CVE 编号：CVE-2024-9468 ►      受影响厂商：Palo Alto ►      受影响产品：Palo Alto PAN-OS            ►   Palo Alto PAN-OS 低于11.1.3版本受影响，需升级至11.1.3以上版本修正。            ►   Palo Alto PAN-OS 低于11.0.4-h5、11.0.6版本受影响，需升级至11.0.4-h5、11.0.6以上版本修正。            ►   Palo Alto PAN-OS 低于10.2.9-h11、10.2.10-h4、10.2.11版本受影响，需升级至10.2.9-h11、10.2.10-h4、10.2.11以上版本修正。 ►      修补说明：Palo Alto于2024/10/10发布此漏洞。（详细请参考：https://security.paloaltonetworks.com/CVE-2024-9468） F5：libxml2 vulnerability CVE-2024-25062 ►      摘要：F5 部分产品之XML Reader功能存在一 Use-after-Free漏洞，此漏洞和libxml2 CVE-2024-25062 有关。当使用启用 DTD validation和 XInclude expansion的 XML Reader 处理特制 XML 文件时，呼叫 xmlValidatePopElement 将发生「重复释放后使用」（use-after-free），导致功能意外停止，甚至任意程式码执行的可能。 ►      CVE 编号：CVE-2024-25062 ►      受影响厂商：F5 ►      受影响产品：BIG-IP Next SPK、BIG-IP Next CNF、BIG-IP (all modules)、Traffix SDC            ►   BIG-IP Next SPK 1.7.0 – 1.9.2版本受影响。            ►   BIG-IP Next CNF 1.1.0 – 1.3.1版本受影响。            ►   BIG-IP (all modules) 17.1.0 – 17.1.1、16.1.0 – 16.1.5、15.1.0 – 15.1.10版本受影响。            ►   Traffix SDC 5.2.0版本受影响。            ►   待原厂发布修正版本。 ►      修补说明：F5于2024/10/09发布此漏洞。（详细请参考：https://my.f5.com/manage/s/article/K000141357）

参考资料   ►      CVE-2024-43599 https://www.cve.org/CVERecord?id=CVE-2024-43599 ►      CVE-2024-43582 https://www.cve.org/CVERecord?id=CVE-2024-43582 ►      CVE-2024-23113 https://www.cve.org/CVERecord?id=CVE-2024-23113 ►      CVE-2024-6387 https://www.cve.org/CVERecord?id=CVE-2024-6387 ►      CVE-2024-9463 https://www.cve.org/CVERecord?id=CVE-2024-9463 ►      CVE-2024-9464 https://www.cve.org/CVERecord?id=CVE-2024-9464 ►      CVE-2024-9465 https://www.cve.org/CVERecord?id=CVE-2024-9465 ►      CVE-2024-9466 https://www.cve.org/CVERecord?id=CVE-2024-9466 ►      CVE-2024-9467 https://www.cve.org/CVERecord?id=CVE-2024-9467 ►      CVE-2024-9468 https://www.cve.org/CVERecord?id=CVE-2024-9468 ►      CVE-2024-25062 https://www.cve.org/CVERecord?id=CVE-2024-25062