.NET, .NET Framework, and Visual Studio Remote Code Execution Vulnerability

CVE-2024-21409

Security Vulnerability

發行日期： 2024年4月9日

上次更新：2024年4月18日

Assigning CNA: Microsoft

CVE.org link: CVE-2024-21409

影響: 遠端執行程式碼

最大嚴重性: 重要

Weakness: CWE-416: Use After Free

CVSS Source: Microsoft

向量字串: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

Metrics: CVSS:3.1 7.3 / 6.4

Metric

Value

基本分數量度(8)

攻擊媒介

該量度反映出可能利用弱點的環境。基本分數越高，攻擊者便更容易利用其更遠的遠端（邏輯上和物理上的），從而破壞易受攻擊的元件。

本機

易受攻擊的元件未繫結到網路堆疊，而攻擊者的路徑是透過讀取/寫入/執行功能實現的。攻擊者要麼透過在本地（例如，鍵盤、控制台）或遠端（例如，SSH）存取目標系統來利用此弱點，要麼依靠其他人的使用者交互來執行利用弱點所需的操作（例如，欺騙合法使用者打開惡意文件）。

攻擊複雜性

該量度描述攻擊者無法控制卻是利用此弱點必須存在的條件。這樣的條件可能需要收集有關目標或計算異常的更多資訊。該量度的評估不包括為了利用此弱點而進行使用者交互的任何要求。如果需要特定設定才能攻擊成功，則應假定該設定下易受攻擊元件的基本量度得到評分。

低

不存在專門的存取條件或可減輕的情況。攻擊者可以期望對易受攻擊的元件重複取得成功。

權限要求

該量度描述攻擊者在成功利用此弱點之前必須擁有的權限等級。

低

攻擊者獲授權 (即要求得到) 的權限可提供基本的使用者功能，這些功能通常只會影響使用者擁有的設定和檔案。或者，具有低權限的攻擊者可能只對非敏感資源造成影響。

使用者互動

該量度擷取攻擊者以外的使用者參與成功入侵易受攻擊元件的要求。該量度確定是否可以僅根據攻擊者的意願來利用弱點，還是必須以某種方式參與到單獨的使用者（或使用者啟動的進程）中。

必須

成功利用此弱點需要使用者採取一些動作後，才能利用此弱點。

範圍

成功的攻擊會影響除易受攻擊的元件以外的其他元件嗎？如果是這樣，則基本分數會增加，並且應相對於受影響的元件而對機密性、完整性和身份驗證量度進行評分。

未變更

遭利用的弱點僅會影響由相同安全性授權單位管理的資源。在這種情況下，易受攻擊的元件和受影響的元件是相同的，或者均由同一安全機構管理。

機密性

該量度用於衡量由於成功利用弱點，而對軟體元件管理之資訊資源機密性的影響。機密性是指將資訊存取和披露僅限於授權使用者，以及防止未經授權的使用者存取或披露資訊。

高

完全喪失機密性，導致向攻擊者洩漏受影響元件中的所有資源。或者，僅獲得一些受限資訊的存取權，但是所洩漏的資訊會帶來嚴重的直接影響。

完整性

該量度用於衡量成功利用的弱點對完整性的影響。完整性是指資訊的可信賴性和準確性。

高

完全喪失完整性，或者完全失去防護。例如，攻擊者能夠修改受受影響元件防護的任何/所有檔案。或者，只能修改某些檔案，但是惡意修改會對受影響的元件造成直接的嚴重後果。

可用性

該量度用於衡量由於成功利用弱點，而對受影響元件的可用性產生的影響。它是指受影響元件本身（例如，網路服務：如Web、資料庫、電子郵件）的可用性喪失。由於可用性是指信息資源的可存取性，因此消耗網路頻寬、處理器週期或磁碟空間的攻擊都會影響受影響元件的可用性。

高

完全喪失可用性，導致攻擊者能夠完全拒絕存取受影響元件中的資源。這種可用性喪失情況既可以在攻擊者繼續進行攻擊的同時存續，也可以在攻擊完成後仍然持續存在。或者，攻擊者可以拒絕某些可用性，但是可用性的喪失會對受影響的元件造成直接的嚴重後果（例如，攻擊者無法破壞現有連接，但可以阻止新連接；攻擊者可以反復利用一個弱點，該弱點在每次成功攻擊的情況下只會洩漏少量記憶體，但是在反復利用之後，該服務將變得完全不可用）。

時間分數量度(3)

利用程式碼成熟度

該量度用於衡量弱點遭到攻擊的可能性，而且通常根據惡意探索技術的目前狀態、惡意探索程式碼的可用性或「世界各地」使用中的惡意探索方式來進行。

未驗證

沒有可用的惡意探索程式碼，或者是理論上可進行惡意探索。

修復等級

弱點的修復等級是確定優先順序的重要因素。最初發佈時，未修補典型弱點。解決方法或修補程式可能會提供臨時修復，直到發佈正式修補程式或升級為止。這些各個階段中的每個階段都向下調整時間得分，反映出隨著補救工作的最終完成，緊迫性得到降低。

官方修正程式

有完整的廠商解決方案。廠商已經發佈了官方修補程式，或者可執行升級。

報告機密性

該量度用於衡量對弱點存在的信心程度，以及已知技術詳細資料的可信度。有時僅公開存在的弱點，但無具體細節。例如，可能認為會有不良影響，但根本原因可能未知。以後可能會透過研究來證實該弱點，儘管該研究可能不確定，但該研究提示了該弱點可能位於何處。最後，可以透過受影響的技術的作者或廠商的確認來確認弱點。當已知某個弱點確實存在時，該弱點的緊急性就會更高。該量度還表明了可能成為攻擊者的技術知識水準。

已確認

有詳細報告存在，或可能進行功能複製 (功能惡意探索可能做得到這點)。原始程式碼可用於獨立驗證研究的聲明，或者受影響程式碼的作者或廠商已確認存在此弱點。

請參閱常見弱點評分系統，以取得有關這些量度定義的詳細資訊。

可擅用性

下列表格提供最初公開時此弱點的可擅用性評定。

Publicly disclosed: No
Exploited: No
Exploitability assessment: 利用可能性低

常見問題集

攻擊者如何利用此弱點？

為了利用此弱點，攻擊者必須先登入系統。接著，攻擊者可能會執行蓄意製作的應用程式來利用弱點，並取得受影響系統的控制權。

此外，攻擊者可以引誘本機使用者開啟惡意檔案。攻擊者必須引誘使用者按一下連結，一般是藉助電子郵件的附件或立即訊息，接著再引誘他們開啟蓄意製作的檔案。

對於 .NET 7.0 與 .NET 8.0，哪些作業系統會受到此弱點影響？

對於 .NET 7.0 與 .NET 8.0，這是僅限 Windows 才有的弱點。如需詳細資訊，請參閱 Microsoft 資訊安全諮詢 CVE-2024-21409| .NET 權限提高弱點 (英文)。

根據 CVSS 量度，攻擊媒介為本機 (AV:L)。為什麼 CVE 標題指出這是執行遠端程式碼？

標題中的遠端一詞，是指攻擊者的位置。這種類型的利用方式有時候稱為「執行任意程式碼」(ACE)。攻擊本身是在本機進行。這表示攻擊者或受害者需要從本機電腦執行程式碼，才能利用此弱點。

根據 CVSS 量度，權限要求為低 (PR:L)。對於此遠端程式碼執行弱點，這代表什麼意思？

經過驗證且在關閉惡意製作的 .docx 檔案時成功利用 WordPad 弱點的攻擊者，可能會觸發執行惡意程式碼。

致謝

wh1tc & Zhiniang Peng

Microsoft 了解資訊安全業界所做的努力，其盡責地揭露弱點來協助我們保護客戶。請參閱致謝以取得詳細資訊。

安全性更新

若要了解您軟體的支援生命週期，請參閱 Microsoft 支援週期網站。

發行日期 Descending

發行日期

產品

平台

影響

最大嚴重性

文章

下載

Build Number

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows 11 Version 23H2 for x64-based Systems

Remote Code Execution

Important

5036620

Security Update

4.8.9236.0

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows 11 Version 23H2 for ARM64-based Systems

Remote Code Execution

Important

5036620

Security Update

4.8.9236.0

2024年4月9日

PowerShell 7.2

Remote Code Execution

Important

Release Notes

Security Update

7.2.19

2024年4月9日

PowerShell 7.4

Remote Code Execution

Important

Release Notes

Security Update

7.4.2

2024年4月9日

PowerShell 7.3

Remote Code Execution

Important

Release Notes

Security Update

7.3.12

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows 10 Version 22H2 for x64-based Systems

Remote Code Execution

Important

5037036

Security Update

4.8.9236.0

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8

Windows 10 Version 22H2 for x64-based Systems

Remote Code Execution

Important

5037036

Security Update

4.8.4718.0

2024年4月9日

Microsoft Visual Studio 2022 version 17.8

Remote Code Execution

Important

Release Notes

Security Update

17.8.9

2024年4月9日

Microsoft .NET Framework 4.6.2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Remote Code Execution

Important

4.7.4092.0
4.7.4092.0

2024年4月9日

Microsoft .NET Framework 4.6.2

Windows Server 2008 for x64-based Systems Service Pack 2

Remote Code Execution

Important

4.7.4092.0
4.7.4092.0

2024年4月9日

Microsoft .NET Framework 4.6.2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Remote Code Execution

Important

4.7.4092.0
4.7.4092.0

2024年4月9日

Microsoft .NET Framework 4.6.2

Windows Server 2008 for 32-bit Systems Service Pack 2

Remote Code Execution

Important

4.7.4092.0
4.7.4092.0

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows 10 Version 22H2 for 32-bit Systems

Remote Code Execution

Important

5037036

Security Update

4.8.9236.0

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows 10 Version 22H2 for ARM64-based Systems

Remote Code Execution

Important

5037036

Security Update

4.8.9236.0

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8

Windows 10 Version 21H2 for x64-based Systems

Remote Code Execution

Important

5037035

Security Update

4.8.4718.0

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8

Windows 10 Version 21H2 for ARM64-based Systems

Remote Code Execution

Important

5037035

Security Update

4.8.4718.0

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8

Windows 10 Version 21H2 for 32-bit Systems

Remote Code Execution

Important

5037035

Security Update

4.8.4718.0

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8

Windows 11 version 21H2 for ARM64-based Systems

Remote Code Execution

Important

5037037

Security Update

4.8.4718.0

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8

Windows 11 version 21H2 for x64-based Systems

Remote Code Execution

Important

5037037

Security Update

4.8.4718.0

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8

Windows Server 2022 (Server Core installation)

Remote Code Execution

Important

5037033

Security Update

4.8.4718.0

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8

Windows Server 2022

Remote Code Execution

Important

5037033

Security Update

4.8.4718.0

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8

Windows Server 2019 (Server Core installation)

Remote Code Execution

Important

5037034

Security Update

4.8.4718.0

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8

Windows Server 2019

Remote Code Execution

Important

5037034

Security Update

4.8.4718.0

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8

Windows 10 Version 1809 for x64-based Systems

Remote Code Execution

Important

5037034

Security Update

4.8.4718.0

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8

Windows 10 Version 1809 for 32-bit Systems

Remote Code Execution

Important

5037034

Security Update

4.8.4718.0

2024年4月9日

Microsoft .NET Framework 4.8

Windows Server 2012 R2 (Server Core installation)

Remote Code Execution

Important

5037040

Monthly Rollup

4.8.4718.0

2024年4月9日

Microsoft .NET Framework 4.8

Windows Server 2012 R2

Remote Code Execution

Important

5037040

Monthly Rollup

4.8.4718.0

2024年4月9日

Microsoft .NET Framework 4.8

Windows Server 2012 (Server Core installation)

Remote Code Execution

Important

5037039

Monthly Rollup

4.8.4718.0

2024年4月9日

Microsoft .NET Framework 4.8

Windows Server 2012

Remote Code Execution

Important

5037039

Monthly Rollup

4.8.4718.0

2024年4月9日

Microsoft .NET Framework 4.8

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Remote Code Execution

Important

5037127

Security Only

4.8.4718.0

2024年4月9日

Microsoft .NET Framework 4.8

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Remote Code Execution

Important

5037127

Security Only

4.8.4718.0

2024年4月9日

Microsoft Visual Studio 2022 version 17.6

Remote Code Execution

Important

Release Notes

Security Update

17.6.14

2024年4月9日

Microsoft Visual Studio 2022 version 17.4

Remote Code Execution

Important

Release Notes

Security Update

17.4.18

2024年4月9日

Microsoft Visual Studio 2022 version 17.9

Remote Code Execution

Important

Release Notes

Security Update

17.9.6

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows Server 2022 (Server Core installation)

Remote Code Execution

Important

5037033

Security Update

4.8.9236.0

2024年4月9日

Microsoft .NET Framework 3.5 AND 4.8.1

Windows Server 2022

Remote Code Execution

Important

5037033

Security Update

4.8.9236.0

2024年4月9日

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012 R2 (Server Core installation)

Remote Code Execution

Important

5037040

Monthly Rollup

4.7.4092.0

2024年4月9日

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012 R2

Remote Code Execution

Important

5037040

Monthly Rollup

4.7.4092.0

2024年4月9日

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012 (Server Core installation)

Remote Code Execution

Important

5037039

Monthly Rollup

4.7.4092.0

2024年4月9日

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012

Remote Code Execution

Important

5037039

Monthly Rollup

4.7.4092.0

All results loaded

已載入全部 67 列

免責聲明

Microsoft 知識庫提供的資訊係依「現況」提供，不附任何保證。Microsoft 不做任何明示或默示的責任擔保，包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害，Microsoft Corporation 及其供應商皆不負任何法律責任，包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任，因此前述限制不適用於這些地區。

修訂

version

revisionDate

description

2.1

2024年4月18日

Added an FAQ to indicate that for .NET 7.0 and .NET 8.0., Windows is the only operating system affected by this vulnerability. For more information see Microsoft Security Advisory CVE-2024-21409 | .NET Elevation of Privilege Vulnerability. This is an informational change only.

2.0

2024年4月16日

The following updates have been made in the Security Updates table: 1) Added PowerShell 7.2, PowerShell 7.3, and PowerShell 7.4 because these versions of PowerShell 7 are affected by this vulnerability. See https://github.com/PowerShell/Announcements/issues/75 for more information. 2) Added .NET Framework 3.5 and 4.8.1 installed on Windows 11 version 23H2 for x64-based systems and Windows 11 version 23H2 for ARM-based systems because these versions of Windows 11 are also affected by this vulnerability. For these .NET Framework updates, customers whose systems are configured to receive automatic updates do not need to take any further action.

1.0

2024年4月9日

Information published.

您對 MSRC 安全性更新導覽的滿意度為何？