吉林省公共互联网网络安全预警通报

（2024年4月）

一、情况综述

2024年4月，我省互联网络总体运行情况良好。基础网络运行总体平稳，互联网骨干网各项监测指标正常，未发生重特大网络安全事件。本月我省移动互联网发生恶意程序事件共14.3万件，涉及僵尸网络、木马程序、蠕虫攻击特征种类共1.4万种。

分析来看，本月我省恶意程序事件总数有所下降，环比减少24.3%。监测僵尸网络、木马程序、蠕虫攻击总数有下降，环比减少12.5%。

二、重要威胁预警

2024年4月9日，微软发布了4月安全更新，本次更新共修复了150个漏洞（不包含之前修复的Microsoft Edge 和Mariner漏洞），漏洞类型包括特权提升漏洞、安全功能绕过漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等。本次安全更新中包含2个被积极利用的0 day漏洞以及可利用性评估中“被利用的可能性较高”的漏洞包括：

1. CVE-2024-26234：Proxy Driver欺骗漏洞（0day漏洞）

该漏洞的CVSS评分为6.7，与Sophos X-Ops 发现的有效Microsoft硬件发行商证书签名的恶意驱动程序活动相关，该驱动程序被用来部署恶意后门，目前该漏洞已发现被利用并已公开披露。

2. CVE-2024-29988：SmartScreen Prompt安全功能绕过漏洞（0day漏洞）

该漏洞的CVSS评分为8.8，威胁者可以向目标用户发送特制文件，并诱导用户使用请求不显示UI 的启动器应用程序来启动恶意文件，可能在文件打开时绕过Microsoft Defender Smartscreen 提示，在目标系统上执行恶意代码。目前微软官方并未将该漏洞标记为已被利用，但该漏洞可能存在在野利用。

3. CVE-2024-29053：Microsoft Defender for IoT 远程代码执行漏洞

Microsoft Defender for IoT中存在路径遍历漏洞，该漏洞的CVSS评分为8.8，有权访问文件上传功能的经过身份验证的威胁者可以通过将恶意文件上传到服务器上的敏感位置来利用该路径遍历漏洞，成功利用可能导致远程代码执行。

4. CVE-2024-21323：Microsoft Defender for IoT 远程代码执行漏洞

Microsoft Defender for IoT中存在路径遍历漏洞，该漏洞的CVSS评分为8.8，经过身份验证并获得启动更新过程所需的权限的威胁者可向Defender for IoT 传感器发送 tar 文件来利用该漏洞。提取过程完成后，威胁者就可以发送未签名的更新包，并覆盖他们选择的任何文件。

5.CVE-2024-21322：Microsoft Defender for IoT 远程代码执行漏洞

Microsoft Defender for IoT中存在命令注入漏洞，该漏洞的CVSS评分为7.2，具有Web 应用程序的管理权限的威胁者可利用该漏洞导致远程代码执行。

三、安全建议

本月微软的安全公告公开了2个未披露的0day漏洞，建议采用以下方式进行更新。

（1） Windows系统更新

自动更新：Microsoft Update默认启用，当系统检测到可用更新时，将会自动下载更新并在下一次启动时安装。

手动更新：

1. 点击“开始菜单”或按Windows快捷键，点击进入“设置”

2. 选择“更新和安全”，进入“Windows更新”（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，具体步骤为“控制面板”->“系统和安全”->“Windows更新”）

3. 选择“检查更新”，等待系统将自动检查并下载可用更新。

4. 重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

（2） 漏洞补丁安装

Microsoft官方下载相应补丁进行更新。下载链接：https://msrc.microsoft.com/update-guide/releaseNote/2024-Apr