近日，微軟披露了 Office 中一個未修補的零日漏洞，如果被成功利用，可能導(dǎo)致敏感信息在未經(jīng)授權(quán)的情況下泄露給惡意行為者。

該漏洞被追蹤為 CVE-2024-38200（CVSS 得分：7.5），被描述為一個欺騙漏洞，影響以下版本的 Office：

• 32 位版本和 64 位版本的 Microsoft Office 2016
• 32 位版本和 64 位版本的 Microsoft Office LTSC 2021
• 適用于 32 位和 64 位系統(tǒng)的 Microsoft 365 企業(yè)應(yīng)用程序
• 適用于 32 位和 64 位系統(tǒng)的 Microsoft Office 2019

微軟在一份公告中提到：在基于網(wǎng)絡(luò)的攻擊場景中，攻擊者可以托管一個網(wǎng)站，或利用一個接受或托管用戶提供內(nèi)容的受攻擊網(wǎng)站，該網(wǎng)站包含一個特制文件專門利用該漏洞。

但是，攻擊者無法強迫用戶訪問該網(wǎng)站。相反，攻擊者必須誘導(dǎo)用戶點擊一個鏈接，通常是通過電子郵件或即時通信信息中的誘導(dǎo)方式，然后說服用戶打開特制文件。

CVE-2024-38200的正式補丁預(yù)計將于8月13日正式發(fā)布。不過微軟公司表示，他們已經(jīng)確定了一種替代修復(fù)的方法，并已從2024年7月30日起通過 "功能飛行"（Feature Flighting）啟用了該修復(fù)方法。

該公司還指出，雖然客戶已經(jīng)在所有支持版本的微軟Office和微軟365上得到了保護，但為了最大程度的規(guī)避安全風險，用戶應(yīng)在最終版本的補丁發(fā)布后立即更新。

微軟對該漏洞進行了 "不太可能被利用 "的評估，并進一步概述了三種緩解策略--配置 "網(wǎng)絡(luò)安全 "和 "安全漏洞"：

• 配置 "網(wǎng)絡(luò)安全： 配置 "限制 NTLM：向遠程服務(wù)器發(fā)出 NTLM 流量 "策略設(shè)置，允許、阻止或?qū)徲嫃倪\行 Windows 7、Windows Server 2008 或更高版本的計算機向任何運行 Windows 操作系統(tǒng)的遠程服務(wù)器發(fā)出的 NTLM 流量。
• 將用戶添加到受保護用戶安全組，防止將 NTLM 用作身份驗證機制
• 使用外圍防火墻、本地防火墻并通過 VPN 設(shè)置阻止 TCP 445/SMB 從網(wǎng)絡(luò)向外發(fā)送，以防止向遠程文件共享發(fā)送 NTLM 身份驗證信息
• 在披露該漏洞的同時，微軟還表示其正在努力解決CVE-2024-38202 和 CVE-2024-21302兩個零日漏洞，這些漏洞可能被利用來 "解除 "最新 Windows 系統(tǒng)的補丁，并重新引入舊漏洞。

上周，Elastic 安全實驗室披露Windows智能應(yīng)用控制（Smart App Control）和智能屏幕（SmartScreen）存在一個設(shè)計漏洞，該缺陷允許攻擊者在不觸發(fā)安全警告的情況下啟動程序，至少自2018年以來一直在被利用。

智能應(yīng)用控制是一項基于信任的安全功能，它使用微軟的應(yīng)用智能服務(wù)進行安全預(yù)測，并利用Windows的代碼完整性功能來識別和阻止不受信任的（未簽名的）或潛在危險的二進制文件和應(yīng)用程序。

Elastic安全實驗室認為，這一漏洞多年來一直被濫用，因為他們在VirusTotal中發(fā)現(xiàn)了多個利用此漏洞的樣本，其中最早的提交時間超過六年。