微软2024年9月补丁修复了79个安全漏洞，包括4个被积极利用的零日漏洞。它涵盖了Windows Installer、MoTW、Publisher和Windows Update中的严重缺陷。

微软2024年9月补丁包含大量关键更新，共修复了79个漏洞，包括4个被积极利用的漏洞和1个公开披露的零日漏洞。其中七个漏洞被评为关键漏洞，大多数是远程代码执行(RCE)或特权提升(EoP)漏洞。

其中主动利用的漏洞：

最紧急的更新包括四个漏洞，这些漏洞正被恶意攻击者积极利用。这些漏洞对尚未应用补丁的用户和组织构成重大风险，因为在补丁发布之前，它们就已在实际攻击中被利用。

CVE-2024-38217 - Windows Mark of the Web(MoTW)安全功能绕过漏洞：
此严重漏洞允许攻击者绕过旨在保护用户免于打开来自不受信任来源的文件的安全警告。攻击者可以操纵这些安全功能，诱骗用户执行恶意文件，而无需触发标准MoTW提示。此漏洞之前已被证实与勒索软件攻击有关，因此需要优先修复。

CVE-2024-43461 – Windows MSHTML平台欺骗漏洞：
此漏洞使攻击者能够伪造合法的Web内容，从而进行网络钓鱼攻击和未经授权的数据窃取。此漏洞与CVE-2024-38112有相似之处，后者被高级持续威胁(APT)组织用于零日攻击。鉴于相关漏洞的积极利用，CVE-2024-43461很有可能在未来的攻击中被利用。

零日漏洞：
CVE-2024-43491 — Windows更新中的远程代码执行：
此严重漏洞可能允许攻击者利用Windows更新过程中的弱点远程执行代码，从而控制受影响的系统。

CVE-2024-38014 — Windows安装程序中的权限提升：
该漏洞允许攻击者利用Windows安装程序中的缺陷获得提升的权限，从而获得受感染系统的管理级别访问权限。

CVE-2024-38217 - Windows Mark of the Web(MoTW)绕过漏洞：
攻击者可以绕过MoTW的安全机制（该机制旨在警告用户从互联网下载的有害文件），从而导致未经授权的代码执行。

CVE-2024-38226 — Microsoft Publisher安全绕过：
该漏洞允许攻击者利用Microsoft Publisher中的安全功能，通过绕过标准文件保护来执行恶意代码。

七个漏洞被标记为严重，主要涉及远程代码执行(RCE)或特权提升。这些漏洞包括：

CVE-2024-43455 - Windows远程桌面协议(RDP)RCE漏洞，可能允许攻击者在受感染的系统上远程执行代码，从而完全控制机器。
CVE-2024-43456 - Windows内核EoP漏洞，允许攻击者在目标系统上提升其权限，从而获得管理权限。
CVE-2024-43469 – Azure CycleCloud中存在高严重性远程代码执行漏洞，允许攻击者以有限权限执行任意代码。该漏洞的CVSS评分为8.8，因此修补该漏洞对于防止漏洞利用至关重要

Qualys威胁研究部门漏洞研究经理Saeed Abbasi对微软2024年9月补丁发表了评论，强调及时应用更新以降低可能的风险的重要性。

Saeed警告称：“CVE-2024-38217漏洞允许攻击者操纵安全警告，这些警告通常会告知用户打开来自未知或不受信任来源的文件的风险，而类似的MoTW绕过历来与勒索软件攻击有关，这种攻击的风险很高。”

他进一步强调：“鉴于该漏洞的公开披露和确认利用，它成为网络犯罪分子渗透企业网络的主要媒介。企业必须优先考虑补丁管理，并教育用户从不受信任的来源下载文件的风险，以减轻此类漏洞的利用。”

“CVE-2024-43461漏洞与CVE-2024-38112的模式相似，由于涉及的攻击媒介相似，因此可以利用该漏洞对CVE-2024-43461进行攻击。该漏洞被利用的可能性很高，因为攻击者可以利用该漏洞伪造合法的Web内容，从而导致网络钓鱼和数据盗窃等未经授权的行为，”他补充道。

Saeed建议：“过去发生的类似漏洞被广泛利用的事件凸显了这一风险，给企业网络带来了巨大的安全挑战。鉴于此漏洞的严重性，我们建议加快补丁管理流程以减轻潜在影响。”