一、情况综述

2024年5月，我省互联网络总体运行情况良好。基础网络运行总体平稳，互联网骨干网各项监测指标正常，未发生重特大网络安全事件。本月我省移动互联网发生恶意程序事件共17.6万件，涉及僵尸网络、木马程序、蠕虫攻击特征种类共0.83万种。

分析来看，本月我省恶意程序事件总数有所增加，环比增长23.1%。监测僵尸网络、木马程序、蠕虫攻击总数有所下降，环比减少42.8%。

二、重要威胁预警

2024年5月14日，微软发布了5月安全更新，本次更新共修复了61个漏洞（不包含之前修复的Microsoft Edge漏洞），漏洞类型包括特权提升漏洞、安全功能绕过漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等。微软本月发布需要关注的0day漏洞、严重漏洞以及“被利用的可能性较高”的漏洞如下：

1. CVE-2024-30040：Windows MSHTML Platform安全功能绕过漏洞（0day）

Windows MSHTML平台存在安全功能绕过漏洞，其CVSS评分为8.2，可能导致绕过 Microsoft 365 和 Microsoft Office 中的OLE缓解措施，威胁者可通过诱导用户打开恶意文档来获得代码执行权限，成功利用可能导致在用户的上下文中执行任意代码。目前该漏洞已检测到漏洞利用。

2. CVE-2024-30051：Windows DWM Core Library特权提升漏洞（0day）

Windows DWM 核心库中存在缓冲区溢出漏洞，其CVSS评分为7.8，本地低权限威胁者可利用该漏洞实现权限提升，成功利用该漏洞可获得SYSTEM权限。目前该漏洞已经公开披露，且已发现Qakbot恶意软件钓鱼攻击使用恶意文档来利用该漏洞并在Windows设备上获得SYSTEM权限。

3. CVE-2024-30046：Visual Studio拒绝服务漏洞（0day）

Visual Studio中存在竞争条件漏洞，其CVSS评分为5.9，成功利用可能导致拒绝服务。目前该漏洞已经公开披露，微软的可利用性评估为 “被利用的可能性较小”。

4.CVE-2024-30044：Microsoft SharePoint Server 远程代码执行漏洞

Microsoft SharePoint Server中存在反序列化漏洞，其CVSS评分为8.8，具有网站所有者权限的经过身份验证的威胁者可以将特制文件上传到目标 Sharepoint Server，并制作特制API请求以触发文件参数的反序列化，成功利用可能导致在 Sharepoint Server的上下文中导致远程代码执行。

5.CVE-2024-30050：Windows Mark of the Web 安全功能绕过漏洞

威胁者可以制作恶意文件并诱导目标用户下载并打开该文件来利用该漏洞，从而可能逃避Web 标记 (MOTW) 防御，导致安全功能（例如依赖 MOTW 标记的 Microsoft Office 中的受保护视图）绕过。

三、安全建议

本月微软的安全公告公开了3个未披露的0day漏洞，建议采用以下方式进行更新。

（1） Windows系统更新

自动更新：Microsoft Update默认启用，当系统检测到可用更新时，将会自动下载更新并在下一次启动时安装。

手动更新：

1. 点击“开始菜单”或按Windows快捷键，点击进入“设置”

2. 选择“更新和安全”，进入“Windows更新”（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，具体步骤为“控制面板”->“系统和安全”->“Windows更新”）

3. 选择“检查更新”，等待系统将自动检查并下载可用更新。

4. 重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

（2） 漏洞补丁安装

Microsoft官方下载相应补丁进行更新。下载链接：https://msrc.microsoft.com/update-guide/releaseNote/2024-May

初审：邢德龙

复审：丁创彤

终审：郭淼