微软12月补丁日修复71个新漏洞，CLFS和LDAP漏洞最为突出

微软发布了2025年最后一个补丁星期二更新，修复了71个新的通用漏洞和暴露（CVE）。其中一个零日漏洞通过Windows通用日志文件系统驱动程序实现特权提升，成为本次更新的焦点。

这个被分配为CVE-2024-49138的漏洞由CrowdStrike高级研究团队发现，源于堆缓冲区溢出，攻击者可以利用不当的边界检查来覆盖堆中的内存。

攻击者可以相对容易地利用这个漏洞执行任意代码并获得系统级权限，从而进行更深入和影响更大的攻击，如勒索软件。微软表示已经观察到CVE-2024-49138在野外被利用。

补丁管理专家Action1的总裁兼联合创始人Mike Walters解释说："CLFS驱动程序是Windows的核心组件，应用程序用它来写入事务日志。这个漏洞通过操纵驱动程序的内存管理，实现未经授权的特权提升，最终获得系统级访问权限 —— Windows中的最高权限。获得系统权限的攻击者可以执行诸如禁用安全保护、窃取敏感数据或安装持久性后门等操作。"

Walters解释说，任何使用标准CLFS组件的Windows系统（可追溯到2008年）都容易受到这个漏洞的影响，如果不迅速解决，可能会在企业环境中造成潜在的麻烦。

Ivanti安全产品副总裁Chris Goettl表示："已确认该漏洞在野外被利用，并且有关漏洞的一些信息已公开披露，但这些披露可能不包括代码样本。微软将这个CVE评为重要，其CVSSv3.1评分为7.8。基于风险的优先级会将这个漏洞评为严重，这使得本月的Windows操作系统更新成为你的首要任务。"

关键问题

Zero Day Initiative的Dustin Childs观察到，2024年微软在12个月内推出了1000多个漏洞修复，是继2020年之后第二高的数量。2024年12月的更新以16个严重漏洞的高数量而引人注目，这些漏洞无一例外都会导致远程代码执行（RCE）。

这些漏洞中，有9个影响Windows远程桌面服务，3个存在于Windows轻量级目录访问协议（LDAP），2个在Windows消息队列（MSMQ），以及各1个分别在Windows本地安全机构子系统服务（LSASS）和Windows Hyper-V中。

其中，Windows LDAP中的CVE-2024-49112可能需要最密切关注，它的CVSS评分高达9.8，影响所有从Windows 7和Server 2008 R2以来的Windows版本。如果不解决，未经身份验证的攻击者可以在底层服务器上实现RCE。

LDAP通常在充当Windows网络中的域控制器的服务器上使用，为了使域正常运行，需要将此功能暴露给环境中的其他服务器和客户端。

Immersive Labs首席安全工程师Rob Reeves解释道："微软表示攻击复杂度较低，且不需要身份验证。此外，他们建议立即停止通过互联网或不受信任的网络暴露这项服务。攻击者可以对LDAP服务进行一系列精心设计的调用，并在该服务的上下文中获得访问权限，该服务将以系统权限运行。"

"由于机器帐户的域控制器状态，评估认为这将立即允许攻击者获取域内所有凭证哈希的访问权限。还评估认为，攻击者只需在域内的Windows主机上获得低特权访问权限或在网络中获得立足点，就可以利用这项服务 —— 从而完全控制域。"

Reeves告诉《计算机周刊》，威胁行为者，特别是勒索软件团伙，将在未来几天积极尝试为这个漏洞开发利用程序，因为在Active Directory环境中完全控制域控制器可以让他们访问该域上的每台Windows机器。

他警告说："使用带有域控制器的Windows网络的环境应该紧急修补这个漏洞，并确保积极监控域控制器是否有被利用的迹象。"

最后

最后，本月有一个鲜为人知的漏洞值得关注，那就是Microsoft Muzic中被追踪为CVE-2024-49063的漏洞。

Ivanti的Goettl观察到："Microsoft Muzic AI项目很有趣。CVE-2024-49063是Microsoft Muzic中的一个远程代码执行漏洞。要解决这个问题，开发人员需要从GitHub获取最新版本来更新他们的实现。"

这个漏洞源于不受信任数据的反序列化，如果攻击者能够创建恶意负载来执行，就会导致远程代码执行。

对于不熟悉这个项目的人来说，Microsoft Muzic是一个正在进行的研究项目，旨在使用人工智能（AI）来理解和生成音乐。该项目的一些功能包括自动歌词转录、歌曲写作和歌词生成、伴奏生成和歌声合成。