近日,8087金沙娱场城CERT监测到微软补丁日发布了79个漏洞的安全补丁(包含本月早前发布的3个安全补丁),其中,9个被评为紧急,70个被评为重要。包含38个远程代码执行漏洞,12个权限提升漏洞,10个拒绝服务漏洞,8个欺骗漏洞,8个信息泄露漏洞,2个安全功能绕过漏洞。此外,微软还修复了3个0day漏洞,分别为Windows图形组件远程代码执行漏洞(CVE-2023-21823)、Microsoft Publisher安全功能绕过漏洞(CVE-2023-21715)以及Windows通用日志文件系统驱动程序特权提升漏洞(CVE-2023-23376),均已发现在野利用行为,建议用户尽快安装对应补丁以修复漏洞。
经8087金沙娱场城CERT专家研判,列出如下部分值得关注的漏洞:
1、Windows图形组件远程代码执行漏洞(CVE-2023-21823)
Windows图形组件存在远程代码执行漏洞,漏洞编号为CVE-2023-21823,该漏洞评分为7.8重要(CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H),目前未公开,已发现在野利用。
利用此漏洞需要本地攻击者在目标系统中执行特制的应用程序,成功利用该漏洞的攻击者可获得SYSTEM权限。
2、Microsoft Publisher安全功能绕过漏洞(CVE-2023-21715)
Microsoft Publisher存在安全功能绕过漏洞,漏洞编号为CVE-2023-21715,该漏洞评分为7.3重要(CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H),目前未公开,已发现在野利用。
该漏洞为本地执行漏洞,攻击者可通过诱导受害者下载并执行特制的恶意文件来利用此漏洞。成功利用此漏洞的攻击者可以绕过用于阻止不受信任或恶意文件的Office宏策略。
3、Windows通用日志文件系统驱动程序特权提升漏洞(CVE-2023-23376)
Windows通用日志文件系统驱动程序存在特权提升漏洞,漏洞编号为CVE-2023-23376,漏洞评分均为7.8重要(CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H),目前未公开,已发现在野利用。
该漏洞存在于通用日志文件系统(CLFS)驱动程序中,允许本地攻击者利用该漏洞在易受攻击的目标系统上获得SYSTEM权限。
4、Microsoft Word远程代码执行漏洞(CVE-2023-21716)
Microsoft Word存在远程代码执行漏洞,漏洞编号为CVE-2023-21716,该漏洞评分为9.8紧急(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H),目前未公开,未发现在野利用。
未经身份验证的攻击者可以发送恶意的RTF负载(例如,通过电子邮件),从而允许攻击者在无需用户交互或少量用户交互的情况下执行命令。
5、Microsoft受保护的可扩展身份验证协议(PEAP)远程代码执行漏洞(CVE-2023-21692、CVE-2023-21690、CVE-2023-21689)
Microsoft受保护的可扩展身份验证协议(PEAP)存在远程代码执行漏洞,漏洞编号分别为CVE-2023-21692、CVE-2023-21690、CVE-2023-21689,漏洞评分均为9.8紧急(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H),目前未公开,未发现在野利用。
CVE-2023-21692和CVE-2023-21690可通过发送特制的恶意数据包加以利用,而CVE-2023-21689可用于通过网络调用以远程执行代码的方式攻击服务器帐户。允许未经身份验证的攻击者在目标系统运行网络策略服务器并配置允许PEAP的网络策略的情况下,执行任意代码。此外,这3个漏洞都不需要特殊权限或用户交互,被微软评为“更有可能利用”。
6、Microsoft SQL ODBC驱动程序远程代码执行漏洞(CVE-2023-21718)
Microsoft SQL ODBC驱动程序存在远程代码执行漏洞,漏洞编号为CVE-2023-21718,漏洞评分均为7.8重要(CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H),目前未公开,未发现在野利用。
该漏洞影响Microsoft开放式数据库连接(ODBC)接口,该接口允许应用程序从各种类型的数据库管理系统(DBMS)访问数据。攻击者可以利用此漏洞诱使未经身份验证的用户连接到攻击者控制的恶意SQL数据库。然后,攻击者可以将恶意数据返回给客户端(用户)并导致对其执行任意代码。
7、Microsoft Exchange Server远程代码执行漏洞(CVE-2023-21529、CVE-2023-21706、CVE-2023-21707和CVE-2023-21710)
Microsoft Exchange Server存在远程代码执行漏洞,漏洞编号分别为CVE-2023-21529、CVE-2023-21706、CVE-2023-21707和CVE-2023-21710,漏洞评分除CVE-2023-21710为7.2重要(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H),其余均为8.8重要(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)。目前未公开,未发现在野利用。
这些漏洞允许远程攻击者通过网络调用在易受攻击的服务器上执行任意代码。CVE-2023-21529、CVE-2023-21706和CVE-2023-21707与CVE-2022-41082有相似之处,也在Microsoft 的可利用指数中被评为“更有可能被利用”。
漏洞编号
CVE-2023-21687 HTTP.sys信息泄露漏洞
CVE-2023-23378 3D Builder远程代码执行漏洞
CVE-2023-23377 3D Builder远程代码执行漏洞
CVE-2023-23390 3D Builder远程代码执行漏洞
CVE-2023-21777 Azure Stack Hub上的Azure App Service特权提升漏洞
CVE-2023-21564 Azure DevOps服务器跨站脚本漏洞
CVE-2023-23382 Azure机器学习计算实例信息泄露漏洞
CVE-2023-21703 Azure Data Box网关远程代码执行漏洞
CVE-2023-23374 Microsoft Edge(基于 Chromium)远程代码执行漏洞
CVE-2023-21720 Microsoft Edge(基于 Chromium)篡改漏洞
CVE-2023-21794 Microsoft Edge(基于 Chromium)欺骗漏洞
CVE-2023-21815 Visual Studio远程代码执行漏洞
CVE-2023-23381 Visual Studio远程代码执行漏洞
CVE-2023-21808 .NET 和 Visual Studio远程代码执行漏洞
CVE-2023-21566 Visual Studio特权提升漏洞
CVE-2023-21553 Azure DevOps服务器远程代码执行漏洞
CVE-2023-21567 Visual Studio拒绝服务漏洞
CVE-2023-21722 .NET Framework拒绝服务漏洞
CVE-2019-15126 MITRE:特定时间和手工制作的流量可能导致WLAN设备出现内部错误(与状态转换相关)
CVE-2023-21800 Windows Installer特权提升漏洞
CVE-2023-21823 Windows图形组件远程代码执行漏洞
CVE-2023-21803 Windows iSCSI发现服务远程代码执行漏洞
CVE-2023-21689 Microsoft受保护的可扩展身份验证协议(PEAP)远程代码执行漏洞
CVE-2023-21690 Microsoft受保护的可扩展身份验证协议(PEAP)远程代码执行漏洞
CVE-2023-21692 Microsoft受保护的可扩展身份验证协议(PEAP)远程代码执行漏洞
CVE-2023-21799 SQL Server远程代码执行漏洞的Microsoft WDAC OLE DB提供程序
CVE-2023-21685 SQL Server远程代码执行漏洞的Microsoft WDAC OLE DB提供程序
CVE-2023-21686 SQL Server远程代码执行漏洞的Microsoft WDAC OLE DB提供程序
CVE-2023-21684 Microsoft PostScript打印机驱动程序远程代码执行漏洞
CVE-2023-21797 Microsoft ODBC驱动程序远程代码执行漏洞
CVE-2023-21798 Microsoft ODBC驱动程序远程代码执行漏洞
CVE-2023-21802 Windows Media远程代码执行漏洞
CVE-2023-21805 Windows MSHTML平台远程代码执行漏洞
CVE-2023-21817 Windows Kerberos特权提升漏洞
CVE-2023-21822 Windows图形组件特权提升漏洞
CVE-2023-21812 Windows通用日志文件系统驱动程序特权提升漏洞
CVE-2023-23376 Windows通用日志文件系统驱动程序特权提升漏洞
CVE-2023-21688 NT操作系统内核提权漏洞
CVE-2023-21801 Microsoft PostScript打印机驱动程序远程代码执行漏洞
CVE-2023-21811 Windows iSCSI服务拒绝服务漏洞
CVE-2023-21702 Windows iSCSI服务拒绝服务漏洞
CVE-2023-21700 Windows iSCSI发现服务拒绝服务漏洞
CVE-2023-21813 Windows安全通道拒绝服务漏洞
CVE-2023-21818 Windows安全通道拒绝服务漏洞
CVE-2023-21816 Windows Active Directory域服务API拒绝服务漏洞
CVE-2023-21695 Microsoft受保护的可扩展身份验证协议(PEAP)远程代码执行漏洞
CVE-2023-21691 Microsoft受保护的可扩展身份验证协议(PEAP)信息泄露漏洞
CVE-2023-21701 Microsoft受保护的可扩展身份验证协议(PEAP)拒绝服务漏洞
CVE-2023-21820 Windows 分布式文件系统(DFS)远程代码执行漏洞
CVE-2023-21694 Windows 传真服务远程代码执行漏洞
CVE-2023-21697 Windows Internet 存储名称服务(iSNS)服务器信息泄露漏洞
CVE-2023-21693 Microsoft PostScript 打印机驱动程序信息泄露漏洞
CVE-2023-21699 Windows Internet 存储名称服务(iSNS)服务器信息泄露漏洞
CVE-2023-21706 Microsoft Exchange Server远程代码执行漏洞
CVE-2023-21707 Microsoft Exchange Server远程代码执行漏洞
CVE-2023-21529 Microsoft Exchange Server远程代码执行漏洞
CVE-2023-21710 Microsoft Exchange Server远程代码执行漏洞
CVE-2023-21778 Microsoft Dynamics 统一服务台远程代码执行漏洞
CVE-2023-21572 Microsoft Dynamics 365(on-premises)跨站脚本漏洞
CVE-2023-21807 Microsoft Dynamics 365(on-premises)跨站脚本漏洞
CVE-2023-21570 Microsoft Dynamics 365(on-premises)跨站脚本漏洞
CVE-2023-21571 Microsoft Dynamics 365(on-premises)跨站脚本漏洞
CVE-2023-21573 Microsoft Dynamics 365(on-premises)跨站脚本漏洞
CVE-2023-21716 Microsoft Word远程代码执行漏洞
CVE-2023-21717 Microsoft SharePoint Server特权提升漏洞
CVE-2023-21715 Microsoft Publisher安全功能绕过漏洞
CVE-2023-21721 Microsoft OneNote欺骗漏洞
CVE-2023-21714 Microsoft Office信息泄露漏洞
CVE-2023-21705 Microsoft SQL Server远程代码执行漏洞
CVE-2023-21713 Microsoft SQL Server远程代码执行漏洞
CVE-2023-21806 Power BI报表服务器欺骗漏洞
CVE-2023-21528 Microsoft SQL Server远程代码执行漏洞
CVE-2023-21718 Microsoft SQL ODBC驱动程序远程代码执行漏洞
CVE-2023-21704 Microsoft ODBC Driver for SQL Server远程代码执行漏洞
CVE-2023-21568 Microsoft SQL Server 集成服务(VS扩展)远程代码执行漏洞
CVE-2023-21809 Microsoft Defender for Endpoint Security功能绕过漏洞
CVE-2023-23379 针对IoT特权提升漏洞的Microsoft Defender
CVE-2023-21804 Windows图形组件特权提升漏洞
CVE-2023-21819 Windows安全通道拒绝服务漏洞
受影响的产品
.NET and Visual Studio
.NET Framework
3D Builder
Azure App Service
Azure Data Box Gateway
Azure DevOps
Azure Machine Learning
HoloLens
Internet Storage Name Service
Microsoft Defender for Endpoint
Microsoft Defender for IoT
Microsoft Dynamics
Microsoft Edge (Chromium-based)
Microsoft Exchange Server
Microsoft Graphics Component
Microsoft Office
Microsoft Office OneNote
Microsoft Office Publisher
Microsoft Office SharePoint
Microsoft Office Word
Microsoft PostScript Printer Driver
Microsoft WDAC OLE DB provider for SQL
Microsoft Windows Codecs Library
Power BI
SQL Server
Visual Studio
Windows Active Directory
Windows ALPC
Windows Common Log File System Driver
Windows Cryptographic Services
Windows Distributed File System (DFS)
Windows Fax and Scan Service
Windows HTTP.sys
Windows Installer
Windows iSCSI
Windows Kerberos
Windows MSHTML Platform
Windows ODBC Driver
Windows Protected EAP (PEAP)
Windows SChannel
Windows Win32K
修复建议
1、Windows 自动更新
Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
点击“开始菜单”或按Windows快捷键,点击进入“设置”
选择“更新和安全”,进入“Windows更新”(可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)
选择“检查更新”,等待系统将自动检查并下载可用更新。
重启计算机。安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
2、手动安装更新
对于部分不能自动更新的系统版本和应用程序,可前往Microsoft官方下载相应补丁进行更新。
下载链接:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Feb
注意:运行Windows 7、Windows Server 2008 R2或Windows Server 2008的客户需要购买扩展安全更新才能继续接收安全更新,详细信息请参阅:
https://support.microsoft.com/en-us/topic/kb4522133-procedure-to-continue-receiving-security-updates-after-extended-support-ended-on-january-10-2023-48c59204-fe67-3f42-84fc-c3c3145ff28e
参考链接
https://msrc.microsoft.com/update-guide/releaseNote/2023-Feb