2023年4月12日，嘉诚安全监测到Microsoft官方发布了4月份的安全更新公告，共发布了97个漏洞的补丁，影响众多组件，如.NET Core, Azure Machine Learning, Microsoft Bluetooth Driver, Microsoft Dynamics,  Microsoft Office等，其中有1个被微软官方标记为紧急漏洞，7个被标记为重要漏洞。

鉴于漏洞危害较大，嘉诚安全提醒广大Microsoft用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

经研判以下漏洞影响较大

1.CVE-2023-28252

Windows 通用日志文件系统驱动程序特权提升漏洞，本地低权限用户可以通过基本日志文件（.blf文件扩展名）的操作触发该漏洞，成功利用该漏洞可导致本地权限提升为SYSTEM。该漏洞目前已发现被Nokoyawa勒索软件利用。

2.CVE-2023-21554

Microsoft 消息队列远程代码执行漏洞，该漏洞可以通过发送恶意制作的MSMQ 数据包到MSMQ 服务器来利用该漏洞，成功利用该漏洞可能导致在服务器端远程执行代码。利用该漏洞需要启用作为Windows 组件的Windows 消息队列服务，可以通过检查是否有名为Message Queuing的服务在运行，以及计算机上是否侦听TCP 端口1801。

3.CVE-2023-28231

DHCP Server Service 远程代码执行漏洞，经过身份验证的威胁者可以利用针对 DHCP 服务的特制 RPC 调用来利用该漏洞。

4.CVE-2023-28219、CVE-2023-28220

二层隧道协议远程代码执行漏洞，未经身份验证的威胁者可以向 RAS 服务器发送恶意连接请求，这可能导致 RAS 服务器计算机上的远程代码执行，但利用该漏洞需要赢得竞争条件。

5.CVE-2023-28250

Windows Pragmatic General Multicast (PGM) 远程代码执行漏洞，当启用Windows消息队列服务时，成功利用该漏洞的威胁者可以通过网络发送特制的文件，实现远程代码执行，并触发恶意代码。利用该漏洞需要启用作为Windows 组件的Windows 消息队列服务，可以通过检查是否有名为Message Queuing的服务在运行，以及计算机上是否侦听TCP 端口1801。

6.CVE-2023-28232

Windows 点对点隧道协议远程代码执行漏洞，当用户将 Windows 客户端连接到恶意服务器时，可能会触发此漏洞，导致远程代码执行。

7.CVE-2023-28291

原始图像扩展远程代码执行漏洞，可以通过诱使本地用户打开恶意文件/链接来利用该漏洞，成功利用该漏洞可能导致任意代码执行。

受影响范围

Windows 10

Windows 11

Windows 7

Windows 8.1

Windows RT 8.1

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

Windows Server 2019

Windows Server 2022

目前微软已发布相关安全更新，鉴于漏洞的严重性，建议受影响的用户尽快修复。

一）Windows自动更新

Windows系统默认启用 Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1.点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2.选择“更新和安全”，进入“Windows更新”（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”-> “系统和安全”->“Windows更新”）。

3.选择“检查更新”，等待系统将自动检查并下载可用更新。

4.重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

二）手动安装补丁

另外，对于不能自动更新的系统版本，官方已发布升级补丁以修复漏洞，补丁获取链接：

https://msrc.microsoft.com/update-guide/releaseNote/2023-Apr