2023年3月微软补丁日安全风险通告
2023-3-15 08:3:16 Author: 赛博昆仑CERT(查看原文) 阅读量:37 收藏

-赛博昆仑漏洞安全风险通告-

2023年3月微软补丁日安全风险通告

一、概述

近日,赛博昆仑CERT监测到微软发布了2023年3月安全更新,涉及以下应用:Azure, Client Server Run-time Subsystem (CSRSS), Internet Control Message Protocol (ICMP), Microsoft Bluetooth Driver, Microsoft Dynamics, Microsoft Edge (Chromium-based), Microsoft Graphics Component, Microsoft Office Excel, Microsoft Office Outlook等。

微软本次总共修复了73个漏洞,中危漏洞1个,高危漏洞66个,严重漏洞6个。其中昆仑实验室研究员协助微软修复了7个安全漏洞。

二、漏洞详情

经过赛博昆仑CERT的分析,这里列出部分值得关注的漏洞,详细信息如下:

1.1 已知被利用漏洞

  • CVE-2023-23397
    Microsoft Outlook 欺骗漏洞

该漏洞被标记为“已知被利用漏洞”。该漏洞存在于Microsoft Outlook中,攻击者可以通过发送特制电子邮件来利用此漏洞,该电子邮件在被电子邮件服务器检索和处理时会自动触发该漏洞,导致受害者连接到攻击者控制的外部 UNC 路径。攻击者通过发送特定的邮件,无需用户预览邮件即可触发该漏洞。漏洞触发效果为以当前用户的身份自动连接一个UNC路径,在此过程中当前用户的NTLM Hash可以被攻击者获取,用于进一步的NTLM Relay攻击。

 
  • CVE-2023-24
    880
    Windows SmartScreen 安全特性绕过漏洞

该漏洞被标记为“已知被利用漏洞”。该漏洞存在于Windows SmartScreen中,攻击者可以制作一个恶意文件来绕过 Web 标记防御(MOTW),从而绕过SmartScreen安全保护机制,实现恶意操作。正常情况下,从网络上下载的文件会被标记为"MotW"-Mark of the Web,当执行被标记为MotW的文件时,SmartScreen会根据文件的属性、签名等信息,对存在风险的文件弹出警告框提示用户。该漏洞利用SmartScreen程序中的漏洞,能够绕过该机制,当用户从网上下载利用了该漏洞的恶意程序并执行时,SmartScreen不会弹出警告。目前已知该漏洞被用于进行勒索软件的投递。

1.2 严重漏洞

  • CVE-2023-21708
    Remote Procedure Call Runtime 远程代码执行漏洞

这是一个微软RPC协议的漏洞。未经身份验证的攻击者通过向 RPC 主机发送特定的 RPC 调用数据包,将可能会导致拒绝服务或者远程代码执行。通过在防火墙阻止 TCP 135 端口的外部访问,可以降低一些针对此漏洞的潜在攻击的可能性。目前该漏洞的具体细节仍待研判。

 
  • CVE-2023-23392
    HTTP Protocol Stack 远程代码执行漏洞

该漏洞存在于http.sys中。受影响的服务器需要启用 HTTP/3,并且使用缓冲 I/O。对 HTTP/3 的支持是 Windows Server 2022 的一项新功能。目前HTTP/3并非默认启用,启用 HTTP/3 是通过注册表项完成的,关闭此功能可以降低一些针对此漏洞的潜在攻击的可能性。建议用户首先排查是否存在开启了HTTP/3的服务器,根据官方文档, HTTP/3对应的注册表项为"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP\Parameters\EnableHttp3",如果存在该注册表项,并且其值为1,代表开启了HTTP/3功能。

 
  • CVE-2023-23404
    Windows Point-to-Point Tunneling Protocol 远程代码执行漏洞

Windows PPTP服务中存在一个竞争条件(Race Condition)漏洞。未经身份验证的攻击者可以向启用了PPTP协议的服务器发送特制连接请求,有可能可以实现拒绝服务或者远程代码执行。经过实际研判,该漏洞要实现稳定远程代码执行的难度非常高,最有可能的实际攻击场景是拒绝服务。

 
  • CVE-2023-23415
    Internet Control Message Protocol (ICMP) 远程代码执行漏洞

该漏洞存在于处理tcpip协议栈中,在处理ICMP错误包的处理代码中存在一个内存漏洞。要触发此漏洞,攻击者需要向目标机器发送特制的ICMP数据包,同时目标上需要存在绑定了原始套接字(Raw Socket)的程序。

 
  • CVE-2023-23416
    Windows Cryptographic Services 远程代码执行漏洞

该漏洞是Windows加解密库在解析pfx证书时存在的一个内存破坏漏洞。要利用此漏洞,需要在受影响的系统上导入恶意证书。攻击者可以将证书上传到处理或导入证书的服务,或者攻击者可以说服经过身份验证的用户在他们的系统上导入证书。

三、修复建议
目前,官方已发布安全补丁,建议受影响的用户尽快升级至安全版本。
March 2023 Security Updates
https://msrc.microsoft.com/update-guide/releaseNote/2023-Mar
四、技术咨询 

赛博昆仑作为微软主动保护计划(Microsoft Active Protections Program,MAPP)的合作伙伴,可以获得微软最新的高级网络威胁信息和相关防御手段、技术的分享,在微软每月安全更新公开发布之前更早地获取漏洞信息,并对赛博昆仑-洞见平台可以第一时间进行更新,为客户提供更迅速有效的安全防护。

赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。

联系邮箱:[email protected]

公众号:赛博昆仑CERT

五、参考链接

  • https://msrc.microsoft.com/update-guide/releaseNote/2023-Mar

六、时间线
  • 2023年3月15日,微软官网发布补丁
  • 2023年3月15日,赛博昆仑 CERT发布安全风险通告


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247483970&idx=1&sn=f3bbfa00945f9a0cf7c323335ef299bd&chksm=c12affc3f65d76d51e684a19e4d65a79f8cdb06b0f44a977b98b20718017b05e13569daef023#rd
如有侵权请联系:admin#unsafe.sh