【补丁日速递】2023年4月微软补丁日安全风险通告
2023-4-12 10:39:7 Author: 赛博昆仑CERT(查看原文) 阅读量:28 收藏

-赛博昆仑漏洞安全风险通告-

2023年4月微软补丁日安全风险通告

一、概述

近日,赛博昆仑CERT监测到微软发布了2023年4月安全更新,涉及以下应用:.NET Core, Azure Machine Learning, Microsoft Bluetooth Driver, Microsoft Defender for Endpoint, Microsoft Dynamics, Microsoft Dynamics 365 Customer Voice, Microsoft Edge (Chromium-based), Microsoft Message Queuing, Microsoft Office, Microsoft Office Publisher等。
总共修复了98个漏洞,低危漏洞1个、高危漏洞90个、严重漏洞7个,其中4个严重由昆仑实验室研究员发现并上报。本月昆仑实验室研究员共协助微软修复了11个安全漏洞。
  • CVE-2023-21727 bee13oy with Cyber Kunlun Lab
  • CVE-2023-21729 bee13oy with Cyber Kunlun Lab
  • CVE-2023-28219 Yuki Chen with Cyber KunLun
  • CVE-2023-28220 Yuki Chen with Cyber KunLun
  • CVE-2023-28224 Azure Yang with Kunlun Lab
  • CVE-2023-28232 Wei with Kunlun Lab with Cyber KunLun
  • CVE-2023-28238 Yuki Chen with Cyber KunLun
  • CVE-2023-28240 Yuki Chen with Cyber KunLun
  • CVE-2023-28241 Wei in Kunlun Lab with Cyber KunLun
  • CVE-2023-28247 Wei in Kunlun Lab with Cyber KunLun
  • CVE-2023-28231 [email protected] of cyberkl

二、漏洞详情

经过赛博昆仑CERT的分析,这里列出部分值得关注的漏洞,详细信息如下:

1. 已知被利用漏洞

  • CVE-2023-28252 Windows Common Log File System Driver 特权提升漏洞

该漏洞被标记为“已知被利用漏洞”。该漏洞存在于 Windows 通用日志文件系统驱动中,成功利用此漏洞的攻击者可以获得SYSTEM特权。
  • CVE-2013-3900 WinVerifyTrust 签名验证漏洞

该漏洞是个将近十年前的漏洞,近期由于APT组织在针对3CX的供应链攻击中使用了该漏洞而引起广泛关注。通过利用该漏洞,攻击者可以向一个具有合法签名的PE文件中插入恶意代码,同时仍然能够保持该文件的签名合法,从而绕过Windows的签名验证机制加载恶意文件。微软的CVE-2013-3900补丁是个“需要主动选择使用”(opt-in)的补丁,也就是管理员需要主动操作才能应用该补丁。这次微软重新发布了该漏洞的公告,也是旨在提醒用户关注该漏洞的相关问题。这里我们尤其想提醒大家的一点是,目前能解决CVE-2013-3900漏洞问题的严格签名验证机制仍然不是默认启用的,需要通过添加注册表项主动启用:对于64位的windows系统中,添加如下两个名为"EnableCertPaddingCheck"的注册表项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   "EnableCertPaddingCheck"="1"[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"

我们建议用户仔细阅读微软关于该漏洞以及如何启用严格签名机制的详细操作说明,并根据自身企业内部环境,来应对该漏洞的相关风险,微软官方的说明链接如下:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2013-3900

2. 重点关注漏洞

  • CVE-2023-28231 DHCP Server Service 远程代码执行漏洞

Windows DHCP服务中存在一个远程代码执行漏洞,未经身份验证的攻击者可以向启用了DHCP v6协议的服务器发送特制连接请求,有可能可以实现拒绝服务或者远程代码执行。
  • CVE-2023-28268 Netlogon RPC 特权提升漏洞

Windows Netlogon RPC 服务中存在一个特权提升漏洞,成功利用此漏洞的攻击者可以获得目标用户的权限。中间人攻击者可以使用特制的RPC请求获得服务器控制权,然后可以通过修改 Netlogon 协议流量以提升他们的权限。利用此漏洞需要攻击者收集特定于目标组件环境的信息。
  • CVE-2023-28244 Windows Kerberos 特权提升漏洞

Windows Kerberos 协议中存在一个特权提升漏洞,未经身份验证的攻击者可以执行中间人攻击,将客户端的加密降级为 RC4-md4 密码,然后破解用户的密码密钥。然后攻击者可以破坏用户的 Kerberos 会话密钥以提升权限。运行 Windows Defender Credential Guard 的系统可以阻止这种攻击。
  • CVE-2023-28219 Layer 2 Tunneling Protocol 远程代码执行漏

Windows L2TP服务中存在一个竞争条件(Race Condition)漏洞。未经身份验证的攻击者可以向启用了L2TP协议的服务器发送特制连接请求,有可能可以实现拒绝服务或者远程代码执行。
  • CVE-2023-28220 Layer 2 Tunneling Protocol 远程代码执行漏

Windows L2TP服务中存在一个竞争条件(Race Condition)漏洞。未经身份验证的攻击者可以向启用了L2TP协议的服务器发送特制连接请求,有可能可以实现拒绝服务或者远程代码执行。
  • CVE-2023-28232 Windows Point-to-Point Tunneling Protocol 远程代码执行漏洞

Windows PPTP服务中存在一个远程代码执行漏洞。当用户使用 Windows 客户端连接到恶意服务器时,可能会触发此漏洞。成功利用此漏洞需要攻击者在利用之前采取额外的措施来准备目标环境。
  • CVE-2023-21554 Microsoft Message Queuing 远程代码执行漏洞

该漏洞存在于 Windows 消息队列服务中,要利用此漏洞,攻击者需要将特制的恶意 MSMQ 数据包发送到 MSMQ 服务器,这可能会导致服务器端执行远程代码。Windows 消息队列服务是一个 Windows 组件,需要系统启用该组件才能利用此漏洞,该组件可以通过控制面板添加。您可以检查是否有名为消息队列的服务正在运行并且 TCP 端口 1801 正在监听,关闭此功能可以降低一些针对此漏洞的潜在攻击的可能性。
  • CVE-2023-28250 Windows Pragmatic General Multicast (PGM) 远程代码执行漏洞

Windows Pragmatic General Multicast (PGM) 中存在一个远程代码执行漏洞,启用Windows消息队列服务后,成功利用该漏洞的攻击者可以通过网络发送特制文件实现远程代码执行,并试图触发恶意代码。Windows 消息队列服务是一个 Windows 组件,需要系统启用该组件才能利用此漏洞,该组件可以通过控制面板添加。您可以检查是否有名为消息队列的服务正在运行并且 TCP 端口 1801 正在监听,关闭此功能可以降低一些针对此漏洞的潜在攻击的可能性。
三、修复建议
目前,官方已发布安全补丁,建议受影响的用户尽快升级至安全版本。
March 2023 Security Updates
https://msrc.microsoft.com/update-guide/releaseNote/2023-Apr
四、技术咨询 

赛博昆仑作为微软主动保护计划(Microsoft Active Protections Program,MAPP)的合作伙伴,可以获得微软最新的高级网络威胁信息和相关防御手段、技术的分享,在微软每月安全更新公开发布之前更早地获取漏洞信息,并对赛博昆仑-洞见平台可以第一时间进行更新,为客户提供更迅速有效的安全防护。

赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。

联系邮箱:[email protected]

公众号:赛博昆仑CERT

五、参考链接

  • https://msrc.microsoft.com/update-guide/releaseNote/2023-Apr

  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2013-3900

六、时间线
  • 2023年4月12日,微软官方发布安全通告
  • 2023年4月12日,赛博昆仑CERT发布安全风险通告


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247484037&idx=1&sn=3755065ff8d55290bf668b21d6e9343a&chksm=c12aff04f65d761228349d2a5e33b8dda76c2fa54dfa39af102f01d6d1cf287c8bfdbea0902f#rd
如有侵权请联系:admin#unsafe.sh