政府電腦保安事故協調中心 - 高危保安警報 (A24-02-09): Microsoft 產品多個漏洞 (2024年2月)

描述:

Microsoft 發布了安全性更新，以應對影響數個 Microsoft 產品或元件的多個漏洞。有關安全性更新的列表，請參考以下網址：
https://msrc.microsoft.com/update-guide/releaseNote/2024-Feb

有報告指 Microsoft Windows 及 Server 的漏洞 (CVE-2024-21351 及 CVE-2024-21412) 正受到攻擊。系統管理員及用戶應立即為受影響的系統安裝修補程式，以減低受到網絡攻擊的風險。

有報告指 Microsoft Outlook 的遠端執行程式碼漏洞 (CVE-2024-21413) 正處於被攻擊的高風險，Microsoft Exchange Server 的權限提升漏洞 (CVE-2024-21410) 亦正受到攻擊。系統管理員及用戶應立即採取行動為受影響的系統安裝修補程式，以減低受到網絡攻擊的風險。

受影響的系統:

Microsoft Windows 10, 11
Microsoft Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2022, 2022, 23H2
Microsoft Office 2016, 2019, LTSC 2021
Microsoft Excel 2016
Microsoft Word 2016
Microsoft PowerPoint 2016
Microsoft Outlook 2016
Microsoft 365 Apps for Enterprise
Microsoft Exchange Server 2016, 2019
Microsoft Visual Studio 2022
Microsoft Visio 2016
.NET 6.0, 7.0, 8.0
ASP.NET Core 6.0, 7.0, 8.0
Azure Active Directory
Azure Connected Machine Agent, File Sync v14.0, File Sync v15.0, File Sync v16.0, File Sync v17.0, Kubernetes Service Confidential Containers, Site Recovery
Azure DevOps Server 2019, 2020, 2022
Azure Stack Hub
Microsoft Defender for Endpoint
Microsoft Dynamics 365 (on-premises) version 9.1
Microsoft Dynamics 365 Business Central 2022 Release Wave 2, 2023 Release Wave 1, 2023 Release Wave 2
Microsoft Publisher 2016
Microsoft Teams for Android
Skype for Business 2016
Skype for Business Server 2019

影響:

成功利用漏洞可以讓攻擊者在受影響的系統遠端執行程式碼、令服務被拒絕、權限提升、泄漏資訊、繞過保安功能或仿冒詐騙。

建議:

受影響系統的修補程式可在 Windows Update 或 Microsoft Update Catalog 獲取。受影響系統的系統管理員及用戶應遵從供應商的建議，立即採取行動以降低風險。

進一步資訊:

https://msrc.microsoft.com/update-guide/releaseNote/2024-Feb
https://www.hkcert.org/tc/security-bulletin/microsoft-monthly-security-update-february-2024
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-50387
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-20667
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-20673
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-20679
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-20684
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-20695
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21304
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21315
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21327 (to CVE-2024-21329)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21338 (to CVE-2024-21372)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21374 (to CVE-2024-21381)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21384
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21386
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21389
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21391
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21393 (to CVE-2024-21397)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21401 (to CVE-2024-21406)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21410
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21412 (to CVE-2024-21413)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21420

標籤 : Microsoft , Windows , Windows Server , Microsoft Office , Excel , Word , PowerPoint , Outlook , Microsoft 365 Apps , Exchange Server , Visual Studio , Visio , .NET , ASP.NET Core , Microsoft Azure , Microsoft Defender , Dynamics 365 , Publisher , Microsoft Teams , Skype