背景图片取自Tadas Sar on Unsplash

微软周二（4/9）的4月Patch Tuesday修补了147个安全漏洞，创下自2017年以来的新高，此次的修补中含有3个重大（Critical）等级的安全漏洞，分别是CVE-2024-21322、CVE-2024-21323与CVE-2024-29053，以及两个已被利用的零时差漏洞CVE-2024-29988及CVE-2024-26234。

两个零时差漏洞都只被列为重要（Important）等级，其中的CVE-2024-26234是个代理驱动程式（Proxy Driver）欺骗漏洞，由资安业者Sophos所揭露，该研究人员发现了一个由有效微软硬体出版商凭证所签署的恶意驱动程式，骇客利用该驱动程式来部署后门。微软并未对此一漏洞披露太多细节。

另一个CVE-2024-29988则是涉及SmartScreen提示安全功能被绕过，亦即在使用者开启档案时绕过安全提示，进而启动恶意档案。

至于本月所修补的3个重大漏洞都与Microsoft Defender for IoT有关，且都允许远端程式攻击。Microsoft Defender for IoT为微软所打造的IoT安全解决方案，可针对企业的IoT装置或工业控制系统（ICS）与操作技术（OT）等基础设施提供防护。

CVE-2024-21322漏洞源自于命令列中所使用特殊元素的不当中和，为一命令注射漏洞，CVE-2024-21323与CVE-2024-29053则皆属于绝对路径穿越（Absolute Path Traversal）漏洞，儘管它们都可能造成远端程式攻击，但前两个漏洞必须取得管理员权限或特定权限才能展开攻击，最危险的CVE-2024-29053只要经过身分验证，就能上传恶意程式至伺服器上的机密区域。

此外，《Dark Reading》引用Tenable资深安全工程师Satnam Narang的说法，指出本月是该公司自2017年追蹤微软Patch Tuesday以来，修补最多漏洞的一个月，Patch Tuesday并不常修补超过100个安全漏洞，上一次超过100个漏洞是在去年10月，而原本的最高纪录是微软于2023年7月所修补的130个漏洞。