美国 CISA 将 Microsoft Windows MSHTML Platform 和 Progress WhatsUp Gold 漏洞添加到其已知已利用漏洞目录中

美国网络安全和基础设施安全局 （CISA） 将 Microsoft Windows MSHTML Platform 和 Progress WhatsUp Gold 错误添加到其已知被利用漏洞目录中。

美国网络安全和基础设施安全局 （CISA） 将 SonicWall、SonicOS、ImageMagick 和 Linux 内核漏洞添加到其已知利用漏洞 （KEV） 目录中。

以下是这些漏洞的描述：

• CVE-2024-43461：Microsoft Windows MSHTML 平台欺骗漏洞
• CVE-2024-6670：Progress WhatsUp Gold SQL 注入漏洞

CVE-2024-43461 – Microsoft 本周警告说，攻击者在 2024 年 7 月之前将 Windows 漏洞 CVE-2024-43461 作为零日漏洞积极利用。

漏洞 CVE-2024-43461 是一个 Windows MSHTML 平台欺骗问题。MSHTML 是 Internet Explorer 使用的平台。尽管浏览器已停用，但 MSHTML 仍保留在 Windows 中，并且仍由某些应用程序使用。

ZDI 威胁搜寻团队发现了一个新的漏洞，类似于之前修补的 7 月漏洞，该漏洞被跟踪为 CVE-2024-38112。

“此漏洞允许远程攻击者在受影响的 Microsoft Windows 安装上执行任意代码。利用此漏洞需要用户交互，因为目标必须访问恶意页面或打开恶意文件。“Internet Explorer 在下载文件后提示用户的方式中存在特定缺陷。构建的文件名可能会导致隐藏真实的文件扩展名，从而误导用户认为该文件类型是无害的。攻击者可以利用此漏洞在当前用户的上下文中执行代码。

尽管在 6 月份向 Microsoft 报告了它，但威胁行为者很快就想出了一种绕过补丁的方法。尽管被积极使用，但 Microsoft 并未将其标记为受到攻击。该漏洞会影响所有受支持的 Windows 版本。

“是的。CVE-2024-43461 在 2024 年 7 月之前被作为与 CVE-2024-38112 相关的攻击链的一部分被利用Microsoft。“我们在 2024 年 7 月的安全更新中发布了 CVE-2024-38112 的修复程序，该修复程序打破了这一攻击链。请参阅 [CVE-2024-38112 – 安全更新指南 – Microsoft – Windows MSHTML 平台欺骗漏洞[（https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38112）。客户应同时更新 2024 年 7 月和 2024 年 9 月的安全更新，以充分保护自己。

2024 年 9 月的 Patch Tuesday 安全更新解决了 CVE-2024-43461 漏洞。

WhatsUp Gold 中的漏洞 CVE-2024-6670 是 SQL 注入身份验证绕过问题。

未经身份验证的攻击者可能会触发此漏洞以检索用户的加密密码。该漏洞会影响 2024.0.0 之前发布的 WhatsUp Gold 版本。

根据具有约束力的操作指令 （BOD） 22-01：降低已知被利用漏洞的重大风险，FCEB 机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中缺陷的攻击。

专家还建议私营组织查看 Catalog 并解决其基础设施中的漏洞。

CISA 命令联邦机构在 2024 年 10 月 7 日之前修复此漏洞。