一、漏洞概述
2023年4月11日,微軟發佈了4月安全更新,本次更新修復了包括1個0 day漏洞在內的97個安全漏洞(不包括Microsoft Edge漏洞),其中有7個漏洞評級為「嚴重」。
本次修復的漏洞中,漏洞類型包括特權提升漏洞、遠端程式碼執行漏洞、資訊洩露漏洞、拒絕服務漏洞、安全功能繞過漏洞和欺騙漏洞等。
微軟本次共修復了1個被積極利用的0 day漏洞,如下:
CVE-2023-28252:Windows 通用日誌檔案系統驅動程序特權提升漏洞
Windows CLFS 驅動程序中存在越界寫入漏洞,本地低許可權使用者可以通過基本日誌檔案(.blf檔案副檔名)的操作觸發該漏洞,成功利用該漏洞可導致本地許可權提升為SYSTEM。該漏洞的CVSSv3評分為7.8,目前已發現被Nokoyawa勒索軟體利用。
本次安全更新中評級為嚴重的7個漏洞包括:
CVE-2023-21554:Microsoft 訊息隊列遠端程式碼執行漏洞
該漏洞的CVSSv3評分為9.8,可以通過發送惡意製作的MSMQ 資料包到MSMQ 伺服器來利用該漏洞,成功利用該漏洞可能導致在伺服器端遠端執行程式碼。利用該漏洞需要啟用作為Windows 元件的Windows 訊息隊列服務,可以通過檢查是否有名為Message Queuing的服務在運行,以及計算機上是否偵聽TCP 埠1801。
CVE-2023-28231:DHCP Server Service 遠端程式碼執行漏洞
該漏洞的CVSSv3評分為8.8,經過身份驗證的威脅者可以利用針對 DHCP 服務的特製 RPC 調用來利用該漏洞。
CVE-2023-28219/ CVE-2023-28220:二層隧道協議遠端程式碼執行漏洞
該漏洞的CVSSv3評分為8.1,未經身份驗證的威脅者可以向 RAS 伺服器發送惡意連接請求,這可能導致 RAS 伺服器計算機上的遠端程式碼執行,但利用該漏洞需要贏得競爭條件。
CVE-2023-28250:Windows Pragmatic General Multicast (PGM) 遠端程式碼執行漏洞
該漏洞的CVSSv3評分為9.8,當啟用Windows訊息隊列服務時,成功利用該漏洞的威脅者可以通過網路發送特製的檔案,實現遠端程式碼執行,並觸發惡意程式碼。利用該漏洞需要啟用作為Windows 元件的Windows 訊息隊列服務,可以通過檢查是否有名為Message Queuing的服務在運行,以及計算機上是否偵聽TCP 埠1801。
CVE-2023-28232:Windows 點對點隧道協議遠端程式碼執行漏洞
該漏洞的CVSSv3評分為7.5,當使用者將 Windows 客戶端連接到惡意伺服器時,可能會觸發此漏洞,導致遠端程式碼執行。
CVE-2023-28291:原始圖像擴展遠端程式碼執行漏洞
該漏洞的CVSSv3評分為8.4,可以通過誘使本地使用者打開惡意檔案/連結來利用該漏洞,成功利用該漏洞可能導致任意程式碼執行。
此外,值得關注的漏洞還包括Microsoft Office、Word 和 Publisher 遠端程式碼執行漏洞(CVE-2023-28285、CVE-2023-28311、CVE-2023-28295和CVE-2023-28287)等,只需打開惡意文件即可利用這些漏洞,應優先修復此類漏洞。
微軟4月更新涉及的完整漏洞列表如下:
| CVE | CVE 標題 | 嚴重程度 |
| CVE-2023-21554 | Microsoft 訊息隊列遠端程式碼執行漏洞 | 嚴重 |
| CVE-2023-28231 | DHCP Server Service 遠端程式碼執行漏洞 | 嚴重 |
| CVE-2023-28219 | 二層隧道協議遠端程式碼執行漏洞 | 嚴重 |
| CVE-2023-28220 | 二層隧道協議遠端程式碼執行漏洞 | 嚴重 |
| CVE-2023-28250 | Windows Pragmatic General Multicast (PGM) 遠端程式碼執行漏洞 | 嚴重 |
| CVE-2023-28232 | Windows 點對點隧道協議遠端程式碼執行漏洞 | 嚴重 |
| CVE-2023-28291 | 原始圖像擴展遠端程式碼執行漏洞 | 嚴重 |
| CVE-2023-28260 | .NET DLL劫持遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28312 | Azure 機器學習資訊洩露漏洞 | 高危 |
| CVE-2023-28300 | Azure 服務聯結器安全功能繞過漏洞 | 高危 |
| CVE-2023-28227 | Windows 藍牙驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2023-24860 | Microsoft Defender 拒絕服務漏洞 | 高危 |
| CVE-2023-28314 | Microsoft Dynamics 365 (on-premises) 跨站腳本漏洞 | 高危 |
| CVE-2023-28309 | Microsoft Dynamics 365 (on-premises) 跨站腳本漏洞 | 高危 |
| CVE-2023-28313 | Microsoft Dynamics 365 客戶語音跨站腳本漏洞 | 高危 |
| CVE-2023-24912 | Windows 圖形元件特權提升漏洞 | 高危 |
| CVE-2023-21769 | Microsoft 訊息隊列拒絕服務漏洞 | 高危 |
| CVE-2023-28285 | Microsoft Office 圖形遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28295 | Microsoft Publisher 遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28287 | Microsoft Publisher 遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28288 | Microsoft SharePoint Server 欺騙漏洞 | 高危 |
| CVE-2023-28311 | Microsoft Word 遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28243 | Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2023-24883 | Microsoft PostScript 和 PCL6 類列印機驅動程序資訊洩露漏洞 | 高危 |
| CVE-2023-24927 | Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2023-24925 | Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2023-24924 | Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2023-24885 | Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2023-24928 | Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2023-24884 | Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2023-24926 | Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2023-24929 | Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2023-24887 | Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2023-24886 | Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28275 | Microsoft WDAC OLE DB provider for SQL Server遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28256 | Windows DNS 伺服器遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28278 | Windows DNS 伺服器遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28307 | Windows DNS 伺服器遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28306 | Windows DNS 伺服器遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28223 | Windows域名服務遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28254 | Windows DNS 伺服器遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28305 | Windows DNS 伺服器遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28308 | Windows DNS 伺服器遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28255 | Windows DNS 伺服器遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28277 | Windows DNS 伺服器資訊洩露漏洞 | 高危 |
| CVE-2023-23384 | Microsoft SQL Server 遠端程式碼執行漏洞 | 高危 |
| CVE-2023-23375 | Microsoft ODBC 和 OLE DB 遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28304 | Microsoft ODBC 和 OLE DB 遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28299 | Visual Studio 欺騙漏洞 | 高危 |
| CVE-2023-28262 | Visual Studio 特權提升漏洞 | 高危 |
| CVE-2023-28263 | Visual Studio 資訊洩露漏洞 | 高危 |
| CVE-2023-28296 | Visual Studio 遠端程式碼執行漏洞 | 高危 |
| CVE-2023-24893 | Visual Studio Code 遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28302 | Microsoft 訊息隊列拒絕服務漏洞 | 高危 |
| CVE-2023-28236 | Windows 核心特權提升漏洞 | 高危 |
| CVE-2023-28216 | Windows 高級本地過程調用 (ALPC) 特權提升漏洞 | 高危 |
| CVE-2023-28218 | Windows Ancillary Function Driver for WinSock 特權提升漏洞 | 高危 |
| CVE-2023-28269 | Windows 啟動管理器安全功能繞過漏洞 | 高危 |
| CVE-2023-28249 | Windows 啟動管理器安全功能繞過漏洞 | 高危 |
| CVE-2023-28273 | Windows Clip 服務特權提升漏洞 | 高危 |
| CVE-2023-28229 | Windows CNG 金鑰隔離服務特權提升漏洞 | 高危 |
| CVE-2023-28266 | Windows 通用日誌檔案系統驅動程序資訊洩露漏洞 | 高危 |
| CVE-2023-28252 | Windows 通用日誌檔案系統驅動程序特權提升漏洞 | 高危 |
| CVE-2023-28226 | Windows 註冊引擎安全功能繞過漏洞 | 高危 |
| CVE-2023-28221 | Windows 錯誤報告服務特權提升漏洞 | 高危 |
| CVE-2023-28276 | Windows 組策略安全功能繞過漏洞 | 高危 |
| CVE-2023-28238 | Windows Internet 金鑰交換 (IKE) 協議擴展遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28244 | Windows Kerberos 特權提升漏洞 | 高危 |
| CVE-2023-28271 | Windows 核心記憶體資訊洩露漏洞 | 高危 |
| CVE-2023-28248 | Windows 核心特權提升漏洞 | 高危 |
| CVE-2023-28222 | Windows 核心特權提升漏洞 | 高危 |
| CVE-2023-28272 | Windows 核心特權提升漏洞 | 高危 |
| CVE-2023-28293 | Windows 核心特權提升漏洞 | 高危 |
| CVE-2023-28253 | Windows 核心資訊洩露漏洞 | 高危 |
| CVE-2023-28237 | Windows 核心遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28298 | Windows 核心拒絕服務漏洞 | 高危 |
| CVE-2023-28270 | Windows 鎖屏安全功能繞過漏洞 | 高危 |
| CVE-2023-28235 | Windows 鎖屏安全功能繞過漏洞 | 高危 |
| CVE-2023-28268 | Netlogon RPC 特權提升漏洞 | 高危 |
| CVE-2023-28217 | Windows 網路地址轉換 (NAT) 拒絕服務漏洞 | 高危 |
| CVE-2023-28247 | Windows 網路檔案系統資訊洩露漏洞 | 高危 |
| CVE-2023-28240 | Windows 網路負載均衡遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28225 | Windows NTLM 特權提升漏洞 | 高危 |
| CVE-2023-28224 | Windows 乙太網點對點協議 (PPPoE) 遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28292 | 原始圖像擴展遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28228 | Windows 欺騙漏洞 | 高危 |
| CVE-2023-28267 | 遠端桌面協議客戶端資訊洩露漏洞 | 高危 |
| CVE-2023-28246 | Windows 註冊表特權提升漏洞 | 高危 |
| CVE-2023-21729 | 遠端過程調用運行時資訊洩露漏洞 | 高危 |
| CVE-2023-21727 | 遠端過程調用運行時遠端程式碼執行漏洞 | 高危 |
| CVE-2023-28297 | Windows 遠端過程調用服務 (RPCSS) 特權提升漏洞 | 高危 |
| CVE-2023-24931 | Windows 安全通道拒絕服務漏洞 | 高危 |
| CVE-2023-28233 | Windows 安全通道拒絕服務漏洞 | 高危 |
| CVE-2023-28241 | Windows 安全套接字隧道協議 (SSTP) 拒絕服務漏洞 | 高危 |
| CVE-2023-28234 | Windows 安全通道拒絕服務漏洞 | 高危 |
| CVE-2023-28274 | Windows Win32k 特權提升漏洞 | 高危 |
| CVE-2023-24914 | Win32k 特權提升漏洞 | 高危 |
| CVE-2023-28284 | Microsoft Edge(基於 Chromium)安全功能繞過漏洞 | 中危 |
| CVE-2023-28301 | Microsoft Edge(基於 Chromium)篡改漏洞 | 低危 |
| CVE-2023-24935 | Microsoft Edge(基於 Chromium)欺騙漏洞 | 低危 |
| CVE-2023-1823 | Chromium:CVE-2023-1823 在 FedCM 中實施不當 | 未知 |
| CVE-2023-1810 | Chromium:CVE-2023-1810 Visuals中的堆緩衝區溢出 | 未知 |
| CVE-2023-1819 | Chromium:CVE-2023-1819 Accessibility中的越界讀取 | 未知 |
| CVE-2023-1818 | Chromium:CVE-2023-1818 Vulkan 中的釋放後使用 | 未知 |
| CVE-2023-1814 | Chromium:CVE-2023-1814 安全瀏覽中不受信任的輸入驗證不充分 | 未知 |
| CVE-2023-1821 | Chromium:CVE-2023-1821 WebShare 中的實施不當 | 未知 |
| CVE-2023-1811 | Chromium:CVE-2023-1811 Frames 中的釋放後使用 | 未知 |
| CVE-2023-1820 | Chromium:CVE-2023-1820 瀏覽器歷史中的堆緩衝區溢出 | 未知 |
| CVE-2023-1816 | Chromium:CVE-2023-1816 畫中畫中的安全 UI 不正確 | 未知 |
| CVE-2023-1815 | Chromium:CVE-2023-1815 Networking APIs中的釋放後使用 | 未知 |
| CVE-2023-1822 | Chromium:CVE-2023-1822 導航中的安全 UI 不正確 | 未知 |
| CVE-2023-1813 | Chromium:CVE-2023-1813 擴展中的實施不當 | 未知 |
| CVE-2023-1812 | Chromium:CVE-2023-1812 DOM 綁定中的越界記憶體訪問 | 未知 |
| CVE-2023-1817 | Chromium:CVE-2023-1817 Intents中的策略執行不足 | 未知 |
二、影響範圍
受影響的產品/功能/服務/元件包括:
.NET Core
Azure Machine Learning
Azure Service Connector
Microsoft Bluetooth Driver
Microsoft Defender for Endpoint
Microsoft Dynamics
Microsoft Dynamics 365 Customer Voice
Microsoft Edge (Chromium-based)
Microsoft Graphics Component
Microsoft Message Queuing
Microsoft Office
Microsoft Office Publisher
Microsoft Office SharePoint
Microsoft Office Word
Microsoft PostScript Printer Driver
Microsoft Printer Drivers
Microsoft WDAC OLE DB provider for SQL
Microsoft Windows DNS
Visual Studio
Visual Studio Code
Windows Active Directory
Windows ALPC
Windows Ancillary Function Driver for WinSock
Windows Boot Manager
Windows Clip Service
Windows CNG Key Isolation Service
Windows Common Log File System Driver
Windows DHCP Server
Windows Enroll Engine
Windows Error Reporting
Windows Group Policy
Windows Internet Key Exchange (IKE) Protocol
Windows Kerberos
Windows Kernel
Windows Layer 2 Tunneling Protocol
Windows Lock Screen
Windows Netlogon
Windows Network Address Translation (NAT)
Windows Network File System
Windows Network Load Balancing
Windows NTLM
Windows PGM
Windows Point-to-Point Protocol over Ethernet (PPPoE)
Windows Point-to-Point Tunneling Protocol
Windows Raw Image Extension
Windows RDP Client
Windows Registry
Windows RPC API
Windows Secure Boot
Windows Secure Channel
Windows Secure Socket Tunneling Protocol (SSTP)
Windows Transport Security Layer (TLS)
Windows Win32K
三、安全措施3.1 升級版本
目前微軟已發佈相關安全更新,建議受影響的使用者儘快修復。
(一) Windows Update自動更新
Microsoft Update默認啟用,當系統檢測到可用更新時,將會自動下載更新並在下一次啟動時安裝。也可選擇通過以下步驟手動進行更新:
1、點選「開始菜單」或按Windows快捷鍵,點選進入「設置」
2、選擇「更新和安全」,進入「Windows更新」(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入「Windows更新」,具體步驟為「控制面板」->「系統和安全」->「Windows更新」)
3、選擇「檢查更新」,等待系統自動檢查並下載可用更新。
4、更新完成後重啟計算機,可通過進入「Windows更新」->「查看更新歷史記錄」查看是否成功安裝了更新。對於沒有成功安裝的更新,可以點選該更新名稱進入微軟官方更新描述連結,點選最新的SSU名稱並在新連結中點選「Microsoft 更新目錄」,然後在新連結中選擇適用於目標系統的補丁進行下載並安裝。
(二) 手動安裝更新
Microsoft官方下載相應補丁進行更新。
2023年4月安全更新下載連結:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Apr
補丁下載示例:
1.打開上述下載連結,點選漏洞列表中要修復的CVE連結。
例1:微軟漏洞列表示例(2022年2月)
2.在微軟公告頁面底部左側【產品】選擇相應的系統類型,點選右側【下載】處打開補丁下載連結。
例2:CVE-2022-21989補丁下載示例
3.點選【安全更新】,打開補丁下載頁面,下載相應補丁並進行安裝。
例3:補丁下載界面
4.安裝完成後重啟計算機。
3.2 臨時措施
針對CVE-2023-28252,可參考以下連結獲更多漏洞資訊及IoC:
https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/
3.3 通用建議
定期更新系統補丁,減少系統漏洞,提升伺服器的安全性。
加強系統和網路的訪問控制,修改防火牆策略,關閉非必要的應用埠或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網路安全性能。
加強系統使用者和許可權管理,啟用多因素認證機制和最小許可權原則,使用者和軟體許可權應保持在最低限度。
啟用強密碼策略並設置為定期修改。
3.4 參考連結
https://msrc.microsoft.com/update-guide/releaseNote/2023-Apr
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252
https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2023-patch-tuesday-fixes-1-zero-day-97-flaws/
