微软警告：Office零日漏洞可能导致数据泄露

主要观点总结

微软披露了一个名为CVE-2024-38200的未修补的零日漏洞，该漏洞可能会影响多个版本的Microsoft Office，包括Microsoft Office 2016、LTSC 2021、Microsoft 365企业应用和Microsoft Office 2019的32位和64位系统。通过特制文件，攻击者可能利用该漏洞诱导用户访问恶意网站，从而未经授权披露敏感信息。正式补丁预计于8月13日发布，但微软已经启用了一种替代修复方法。微软建议用户更新最终版本的补丁并采取措施阻止出站NTLM流量以缓解此缺陷。

关键观点总结

关键观点1: 微软披露了一个未修补的零日漏洞CVE-2024-38200。

该漏洞可能会影响多个Office版本，攻击者可能利用该漏洞诱导用户访问恶意网站，导致敏感信息被披露。

关键观点2: 正式补丁预计于8月13日发布。

但微软已经启用了一种替代修复方法，并建议用户及时更新补丁。

关键观点3: 微软提供了缓解此缺陷的建议措施。

用户可以通过阻止出站NTLM流量来降低风险。具体方法包括配置网络安全策略、将用户添加到“受保护用户”安全组或阻止TCP端口445的数据流量。

文章预览

摘要 近日，微软披露Office 中一个未修补的零日漏洞，如果成功利用该漏洞，可能会导致未经授权向恶意行为者披露敏感信息。 该漏洞被跟踪为 CVE-2024-38200（CVSS 评分：7.5），影响以下 Office 版本： •  Microsoft Office 2016（32位版本和64位版本） •  Microsoft Office LTSC 2021（32位版本和 64位版本） •  适用于32位和64位系统的Microsoft 365 企业应用 •  适用于32位和64位系统的Microsoft Office 2019 发现该漏洞的是研究人员吉姆·拉什（Jim Rush）和梅廷·尤努斯·坎德米尔（Metin Yunus Kandemir）。 微软在一份公告中表示：“在基于Web的攻击场景中，攻击者可以托管一个网站（或利用一个接受或托管用户提供的内容的受感染网站），网站包含一个旨在利用该漏洞的特制文件。 “但是，攻击者无法强迫用户访问该网站。相反，攻击者必须诱使用户单击链接，通常是通过电子 ………………………………