【漏洞通告】微軟5月多個安全漏洞

一、漏洞概述

2023年5月9日，微軟發佈了5月安全更新，本次更新修復了包括3個0 day漏洞在內的38個安全漏洞（不包括Microsoft Edge漏洞），其中有6個漏洞評級為「嚴重」。

本次修復的漏洞中，漏洞類型包括特權提升漏洞、遠端程式碼執行漏洞、資訊洩露漏洞、拒絕服務漏洞、安全功能繞過漏洞和欺騙漏洞等。

微軟本次共修復了3個0 day漏洞，其中兩個已在攻擊中被利用，另一個已被公開披露，如下：

CVE-2023-29336：Win32k 特權提升漏洞

Win32k核心驅動程序中存在許可權提升漏洞，其CVSSv3評分為7.8，成功利用該漏洞可以獲得SYSTEM 許可權，目前該漏洞已發現被利用。

CVE-2023-24932：安全啟動安全功能繞過漏洞

該漏洞的CVSSv3評分為6.7，成功利用該漏洞的威脅者可以繞過安全啟動，但利用該漏洞需要對目標設備具有物理訪問許可權或本地管理員許可權，目前該漏洞已發現被利用。微軟已經發布了CVE-2023-24932的初始修復程序，但默認情況下處於禁用狀態並且不會提供保護，在啟用此更新之前，客戶需要仔細按照手動步驟更新可啟動媒體並應用撤銷。

CVE-2023-29325：Windows OLE 遠端程式碼執行漏洞

該漏洞的CVSSv3評分為8.1，可以通過向受害者發送特製電子郵件或其它方式來利用該漏洞，成功利用可能導致在受害者的機器上遠端執行程式碼，但利用該漏洞需要贏得競爭條件。注意，Microsoft Outlook應用程序預覽窗格可能是該漏洞的一個攻擊媒介。該漏洞目前已經公開披露，但暫未發現被利用。

本次安全更新中評級為嚴重的6個漏洞包括：

CVE-2023-24955：Microsoft SharePoint Server 遠端程式碼執行漏洞

該漏洞的CVSSv3評分為7.2，經過身份驗證的威脅者作為網站所有者可以在 SharePoint Server上遠端執行程式碼。

CVE-2023-28283：Windows 輕量級目錄訪問協議(LDAP) 遠端程式碼執行漏洞

該漏洞的CVSSv3評分為8.1，未經身份驗證的威脅者可以通過一組特製的 LDAP 調用獲得程式碼執行許可權，從而在 LDAP 服務的上下文中執行任意程式碼，但利用該漏洞需要贏得競爭條件。

CVE-2023-24941：Windows 網路檔案系統遠端程式碼執行漏洞

該漏洞的CVSSv3評分為9.8，可以通過對網路檔案系統 (NFS) 服務進行未經身份驗證的特製調用以觸發遠端程式碼執行 (RCE)。

CVE-2023-29325：Windows OLE 遠端程式碼執行漏洞

CVE-2023-24943：Windows Pragmatic General Multicast (PGM) 遠端程式碼執行漏洞

該漏洞的CVSSv3評分為9.8，當 Windows Message Queuing 服務在 PGM Server 環境中運行時，可以通過網路發送特製檔案來實現遠端程式碼執行。只有PGM Server 易受該漏洞影響。

CVE-2023-24903：Windows 安全套接字隧道協議 (SSTP) 遠端程式碼執行漏洞

該漏洞的CVSSv3評分為8.1，可以通過向 SSTP 伺服器發送特製的SSTP 資料包來利用該漏洞，成功利用可能導致在伺服器端遠端執行程式碼，但利用該漏洞需要贏得競爭條件。

微軟5月更新涉及的完整漏洞列表如下：

二、影響範圍

受影響的產品/功能/服務/元件包括：

Microsoft Teams

Windows SMB

Microsoft Graphics Component

Windows NTLM

Windows NFS Portmapper

Windows Win32K

Windows Secure Socket Tunneling Protocol (SSTP)

Windows Installer

Remote Desktop Client

Windows Secure Boot

Reliable Multicast Transport Driver (RMCAST)

Windows Network File System

Windows Remote Procedure Call Runtime

Microsoft Bluetooth Driver

Windows iSCSI Target Service

Windows Backup Engine

Windows Kernel

Microsoft Office SharePoint

Microsoft Office Excel

Windows LDAP – Lightweight Directory Access Protocol

Windows RDP Client

Windows MSHTML Platform

Windows OLE

Microsoft Office Access

Microsoft Office Word

Visual Studio Code

Microsoft Windows Codecs Library

SysInternals

Microsoft Office

Microsoft Edge (Chromium-based)

三、安全措施

3.1 升級版本

目前微軟已發佈相關安全更新，建議受影響的使用者儘快修復。

（一） Windows Update自動更新

Microsoft Update默認啟用，當系統檢測到可用更新時，將會自動下載更新並在下一次啟動時安裝。也可選擇通過以下步驟手動進行更新：

1、點選「開始菜單」或按Windows快捷鍵，點選進入「設置」

2、選擇「更新和安全」，進入「Windows更新」（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入「Windows更新」，具體步驟為「控制面板」->「系統和安全」->「Windows更新」）

3、選擇「檢查更新」，等待系統自動檢查並下載可用更新。

4、更新完成後重啟計算機，可通過進入「Windows更新」->「查看更新歷史記錄」查看是否成功安裝了更新。對於沒有成功安裝的更新，可以點選該更新名稱進入微軟官方更新描述連結，點選最新的SSU名稱並在新連結中點選「Microsoft 更新目錄」，然後在新連結中選擇適用於目標系統的補丁進行下載並安裝。

（二） 手動安裝更新

Microsoft官方下載相應補丁進行更新。

2023年5月安全更新下載連結：

https://msrc.microsoft.com/update-guide/releaseNote/2023-May

補丁下載示例：

1.打開上述下載連結，點選漏洞列表中要修復的CVE連結。

例1：微軟漏洞列表示例（2022年2月）

2.在微軟公告頁面底部左側【產品】選擇相應的系統類型，點選右側【下載】處打開補丁下載連結。

例2：CVE-2022-21989補丁下載示例

3.點選【安全更新】，打開補丁下載頁面，下載相應補丁並進行安裝。

例3：補丁下載界面

4.安裝完成後重啟計算機。

3.2 臨時措施

針對CVE-2023-24932，相關配置指南及更多漏洞資訊可參考：

https://msrc.microsoft.com/blog/2023/05/guidance-related-to-secure-boot-manager-changes-associated-with-cve-2023-24932/

針對CVE-2023-24941，緩解措施可參考：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24941

3.3 通用建議

定期更新系統補丁，減少系統漏洞，提升伺服器的安全性。

加強系統和網路的訪問控制，修改防火牆策略，關閉非必要的應用埠或服務，減少將危險服務（如SSH、RDP等）暴露到公網，減少攻擊面。

使用企業級安全產品，提升企業的網路安全性能。

加強系統使用者和許可權管理，啟用多因素認證機制和最小許可權原則，使用者和軟體許可權應保持在最低限度。

啟用強密碼策略並設置為定期修改。

3.4 參考連結

https://msrc.microsoft.com/update-guide/releaseNote/2023-May

https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2023-patch-tuesday-fixes-3-zero-days-38-flaws/

https://www.bleepingcomputer.com/news/microsoft/microsoft-issues-optional-fix-for-secure-boot-zero-day-used-by-malware/