0x00 漏洞概述
2023年1月10日,微軟發佈了1月安全更新,本次更新修復了包括1個0 day漏洞在內的98個安全漏洞,其中有11個漏洞評級為「嚴重」。
0x01 漏洞詳情
本次發佈的安全更新涉及.NET Core、3D Builder、Microsoft Exchange Server、Microsoft Office、Microsoft Office SharePoint、Windows Cryptographic Services、Windows Kernel、Windows Layer 2 Tunneling Protocol、Windows NTLM、Windows RPC API、Windows Secure Socket Tunneling Protocol (SSTP)、Windows Virtual Registry Provider等多個產品和元件。
本次修復的漏洞中,39個為提取漏洞,33個為遠端程式碼執行漏洞,10個為資訊洩露漏洞,10個為拒絕服務漏洞,4個為安全功能繞過漏洞,以及2個欺騙漏洞。
微軟本次共修復了1個被利用的0 day漏洞,其中CVE-2023-21674已被積極利用,CVE-2023-21549已經公開披露:
CVE-2023-21674:Windows Advanced Local Procedure Call (ALPC)特權提升漏洞
該漏洞的CVSSv3評分為8.8,可能導致瀏覽器沙箱逃逸並提升許可權,成功利用該漏洞可以獲得SYSTEM 許可權,目前該漏洞已經檢測到漏洞利用。
CVE-2023-21549:Windows SMB Witness Service特權提升漏洞
該漏洞的CVSSv3評分為8.8,可以通過製作惡意腳本執行對 RPC 主機的 RPC 調用,導致在伺服器端提升許可權,成功利用該漏洞可以執行僅限於特權帳戶的 RPC功能,目前該漏洞已經公開披露。
本次安全更新中評級為嚴重的11個漏洞包括:
CVE-2023-21743:Microsoft SharePoint Server 安全功能繞過漏洞
該漏洞的CVSSv3評分為5.3,未經身份驗證的使用者可以與目標 SharePoint 伺服器建立匿名連接來利用該漏洞。
CVE-2023-21551/ CVE-2023-21730:Microsoft Cryptographic Services特權提升漏洞
Microsoft加密服務存在多個安全漏洞,這些漏洞的CVSSv3評分為7.8,成功利用可以獲得SYSTEM 許可權。
CVE-2023-21561:Microsoft Cryptographic Services特權提升漏洞
該漏洞的CVSSv3評分為8.8,經過本地身份驗證的使用者可以將惡意資料發送到本地 CSRSS 服務,以將其特權從 AppContainer 提升到 SYSTEM。
CVE-2023-21556/CVE-2023-21555/CVE-2023-21543/CVE-2023-21546/CVE-2023-21679:Windows Layer 2 Tunneling Protocol (L2TP) 遠端程式碼執行漏洞
Windows 2層隧道協議 (L2TP)存在多個安全漏洞,這些漏洞的CVSSv3評分均為8.1,成功利用這些漏洞需要贏得競爭條件或準備目標環境,未經身份驗證的主機可以向 RAS 伺服器發送惡意連接請求,導致在RAS 伺服器計算機上遠端執行程式碼。
CVE-2023-21548:Windows 安全套接字隧道協議 (SSTP) 遠端程式碼執行漏洞
該漏洞的CVSSv3評分為8.1,成功利用該漏洞需要贏得競爭條件,可以通過向 SSTP 伺服器發送惡意PPTP資料包來利用該漏洞,成功利用可在伺服器端遠端執行程式碼。
CVE-2023-21535:Windows 安全套接字隧道協議 (SSTP) 遠端程式碼執行漏洞
該漏洞的CVSSv3評分為8.1,成功利用該漏洞需要贏得競爭條件,未經身份驗證的主機可以向 RAS 伺服器發送惡意連接請求,導致在RAS 伺服器計算機上遠端執行程式碼。
微軟1月更新涉及的完整漏洞列表如下:
CVE-ID | CVE 標題 | 嚴重性 |
CVE-2023-21743 | Microsoft SharePoint Server 安全功能繞過漏洞 | 嚴重 |
CVE-2023-21551 | Microsoft 加密服務特權提升漏洞 | 嚴重 |
CVE-2023-21561 | Microsoft 加密服務特權提升漏洞 | 嚴重 |
CVE-2023-21730 | Microsoft 加密服務特權提升漏洞 | 嚴重 |
CVE-2023-21556 | Windows 第 2 層隧道協議 (L2TP) 遠端程式碼執行漏洞 | 嚴重 |
CVE-2023-21555 | Windows 第 2 層隧道協議 (L2TP) 遠端程式碼執行漏洞 | 嚴重 |
CVE-2023-21543 | Windows 第 2 層隧道協議 (L2TP) 遠端程式碼執行漏洞 | 嚴重 |
CVE-2023-21546 | Windows 第 2 層隧道協議 (L2TP) 遠端程式碼執行漏洞 | 嚴重 |
CVE-2023-21679 | Windows 第 2 層隧道協議 (L2TP) 遠端程式碼執行漏洞 | 嚴重 |
CVE-2023-21548 | Windows 安全套接字隧道協議 (SSTP) 遠端程式碼執行漏洞 | 嚴重 |
CVE-2023-21535 | Windows 安全套接字隧道協議 (SSTP) 遠端程式碼執行漏洞 | 嚴重 |
CVE-2023-21538 | .NET 拒絕服務漏洞 | 高危 |
CVE-2023-21782 | 3D Builder 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21781 | 3D Builder 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21783 | 3D Builder 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21784 | 3D Builder 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21791 | 3D Builder 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21793 | 3D Builder 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21786 | 3D Builder 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21790 | 3D Builder 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21780 | 3D Builder 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21792 | 3D Builder 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21789 | 3D Builder 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21785 | 3D Builder 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21787 | 3D Builder 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21788 | 3D Builder 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21531 | Azure Service Fabric 容器特權提升漏洞 | 高危 |
CVE-2023-21739 | Windows Bluetooth Driver 特權提升漏洞 | 高危 |
CVE-2023-21764 | Microsoft Exchange Server 特權提升漏洞 | 高危 |
CVE-2023-21763 | Microsoft Exchange Server 特權提升漏洞 | 高危 |
CVE-2023-21762 | Microsoft Exchange Server 欺騙漏洞 | 高危 |
CVE-2023-21761 | Microsoft Exchange Server 資訊洩露漏洞 | 高危 |
CVE-2023-21745 | Microsoft Exchange Server 欺騙漏洞 | 高危 |
CVE-2023-21680 | Windows Win32k 特權提升漏洞 | 高危 |
CVE-2023-21532 | Windows GDI 特權提升漏洞 | 高危 |
CVE-2023-21552 | Windows GDI 特權提升漏洞 | 高危 |
CVE-2023-21728 | Windows Netlogon 拒絕服務漏洞 | 高危 |
CVE-2023-21537 | Microsoft Message Queuing(MSMQ) 特權提升漏洞 | 高危 |
CVE-2023-21734 | Microsoft Office 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21735 | Microsoft Office 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21742 | Microsoft SharePoint Server 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21744 | Microsoft SharePoint Server 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21741 | Microsoft Office Visio 資訊洩露漏洞 | 高危 |
CVE-2023-21736 | Microsoft Office Visio 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21737 | Microsoft Office Visio 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21738 | Microsoft Office Visio 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21681 | Microsoft WDAC OLE DB provider for SQL Server 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21779 | Visual Studio Code 遠端程式碼執行 | 高危 |
CVE-2023-21674 | Windows 高級本地過程調用 (ALPC) 特權提升漏洞 | 高危 |
CVE-2023-21768 | Windows Ancillary Function Driver for WinSock 特權提升漏洞 | 高危 |
CVE-2023-21539 | Windows 身份驗證遠端程式碼執行漏洞 | 高危 |
CVE-2023-21752 | Windows 備份服務特權提升漏洞 | 高危 |
CVE-2023-21733 | Windows 綁定篩選器驅動程序特權提升漏洞 | 高危 |
CVE-2023-21563 | BitLocker 安全功能繞過漏洞 | 高危 |
CVE-2023-21560 | Windows 啟動管理器安全功能繞過漏洞 | 高危 |
CVE-2023-21726 | Windows 憑據管理器使用者界面特權提升漏洞 | 高危 |
CVE-2023-21559 | Windows 密碼資訊洩露漏洞 | 高危 |
CVE-2023-21540 | Windows 密碼資訊洩露漏洞 | 高危 |
CVE-2023-21550 | Windows 密碼資訊洩露漏洞 | 高危 |
CVE-2023-21724 | Microsoft DWM 核心庫特權提升漏洞 | 高危 |
CVE-2023-21558 | Windows 錯誤報告服務特權提升漏洞 | 高危 |
CVE-2023-21536 | Event Tracing for Windows資訊洩露漏洞 | 高危 |
CVE-2023-21758 | Windows Internet 金鑰交換 (IKE) 擴展拒絕服務漏洞 | 高危 |
CVE-2023-21683 | Windows Internet 金鑰交換 (IKE) 擴展拒絕服務漏洞 | 高危 |
CVE-2023-21677 | Windows Internet 金鑰交換 (IKE) 擴展拒絕服務漏洞 | 高危 |
CVE-2023-21542 | Windows Installer 特權提升漏洞 | 高危 |
CVE-2023-21547 | 網際網路金鑰交換 (IKE) 協議拒絕服務漏洞 | 高危 |
CVE-2023-21527 | Windows iSCSI 服務拒絕服務漏洞 | 高危 |
CVE-2023-21755 | Windows 核心特權提升漏洞 | 高危 |
CVE-2023-21753 | Event Tracing for Windows資訊洩露漏洞 | 高危 |
CVE-2023-21676 | Windows 輕型目錄訪問協議 (LDAP) 遠端程式碼執行漏洞 | 高危 |
CVE-2023-21557 | Windows 輕型目錄訪問協議 (LDAP) 拒絕服務漏洞 | 高危 |
CVE-2023-21524 | Windows Local Security Authority (LSA) 特權提升漏洞 | 高危 |
CVE-2023-21771 | Windows 本地會話管理器 (LSM) 特權提升漏洞 | 高危 |
CVE-2023-21725 | Windows 惡意軟體刪除工具特權提升漏洞 | 高危 |
CVE-2023-21754 | Windows 核心特權提升漏洞 | 高危 |
CVE-2023-21746 | Windows NTLM 特權提升漏洞 | 高危 |
CVE-2023-21732 | Microsoft ODBC 驅動程序遠端程式碼執行漏洞 | 高危 |
CVE-2023-21766 | Windows覆蓋過濾資訊洩露漏洞 | 高危 |
CVE-2023-21767 | Windows 覆蓋過濾器特權提升漏洞 | 高危 |
CVE-2023-21682 | Windows 點對點協議 (PPP) 資訊洩露漏洞 | 高危 |
CVE-2023-21760 | Windows 後臺列印程序特權提升漏洞 | 高危 |
CVE-2023-21765 | Windows 後臺列印程序特權提升漏洞 | 高危 |
CVE-2023-21678 | Windows 後臺列印程序特權提升漏洞 | 高危 |
CVE-2023-21757 | Windows 第 2 層隧道協議 (L2TP) 拒絕服務漏洞 | 高危 |
CVE-2023-21525 | Remote Procedure Call Runtime拒絕服務漏洞 | 高危 |
CVE-2023-21759 | Windows智慧卡資源管理伺服器安全功能繞過漏洞 | 高危 |
CVE-2023-21541 | Windows 任務計劃程序特權提升漏洞 | 高危 |
CVE-2023-21772 | Windows 核心特權提升漏洞 | 高危 |
CVE-2023-21748 | Windows 核心特權提升漏洞 | 高危 |
CVE-2023-21773 | Windows 核心特權提升漏洞 | 高危 |
CVE-2023-21747 | Windows 核心特權提升漏洞 | 高危 |
CVE-2023-21776 | Windows 核心資訊洩露漏洞 | 高危 |
CVE-2023-21774 | Windows 核心特權提升漏洞 | 高危 |
CVE-2023-21750 | Windows 核心特權提升漏洞 | 高危 |
CVE-2023-21675 | Windows 核心特權提升漏洞 | 高危 |
CVE-2023-21749 | Windows 核心特權提升漏洞 | 高危 |
CVE-2023-21549 | Windows SMB Witness Service特權提升漏洞 | 高危 |
0x02處置建議
目前微軟已發佈相關安全更新,建議受影響的使用者儘快修復。
(一) Windows Update自動更新
Microsoft Update默認啟用,當系統檢測到可用更新時,將會自動下載更新並在下一次啟動時安裝。也可選擇通過以下步驟手動進行更新:
1、點選「開始菜單」或按Windows快捷鍵,點選進入「設置」
2、選擇「更新和安全」,進入「Windows更新」(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入「Windows更新」,具體步驟為「控制面板」->「系統和安全」->「Windows更新」)
3、選擇「檢查更新」,等待系統自動檢查並下載可用更新。
4、更新完成後重啟計算機,可通過進入「Windows更新」->「查看更新歷史記錄」查看是否成功安裝了更新。對於沒有成功安裝的更新,可以點選該更新名稱進入微軟官方更新描述連結,點選最新的SSU名稱並在新連結中點選「Microsoft 更新目錄」,然後在新連結中選擇適用於目標系統的補丁進行下載並安裝。
(二) 手動安裝更新
Microsoft官方下載相應補丁進行更新。
2023年1月安全更新下載連結:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Jan
補丁下載示例:
1.打開上述下載連結,點選漏洞列表中要修復的CVE連結。
例1:微軟漏洞列表示例(2022年2月)
2.在微軟公告頁面底部左側【產品】選擇相應的系統類型,點選右側【下載】處打開補丁下載連結。
例2:CVE-2022-21989補丁下載示例
3.點選【安全更新】,打開補丁下載頁面,下載相應補丁並進行安裝。
例3:補丁下載界面
4.安裝完成後重啟計算機。
0x03 參考連結
https://msrc.microsoft.com/update-guide/releaseNote/2023-Jan
https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2023-patch-tuesday-fixes-98-flaws-1-zero-day/
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2023-01-11 | 首次發佈 |