【漏洞通告】微軟3月多個安全漏洞

程式維他命安全

一、漏洞概述

2023年3月14日,微軟發佈了3月安全更新,本次更新修復了包括2個0 day漏洞在內的83個安全漏洞(不包括Microsoft Edge漏洞),其中有9個漏洞評級為「嚴重」。

漏洞詳情

本次修復的漏洞中,漏洞類型包括特權提升漏洞、遠端程式碼執行漏洞、資訊洩露漏洞、拒絕服務漏洞、安全功能繞過漏洞和欺騙漏洞等。

微軟本次共修復了2個被積極利用的0 day漏洞(指漏洞已被公開披露或被積極利用但沒有可用的官方修復程序),如下:

CVE-2023-23397:Microsoft Outlook 特權提升漏洞

該漏洞是Microsoft Outlook for Windows中的特權提升漏洞, 其CVSSv3評分為9.8。可以通過發送特製的電子郵件來利用該漏洞,該電子郵件在Outlook 客戶端檢索和處理時自動觸發,可能導致受害者連接到威脅者控制的外部 UNC位置,從而導致受害者的 Net-NTLMv2 哈希洩露,威脅者可以將其轉發給另一個服務,並以受害者的身份進行認證。該漏洞目前暫未公開披露,但已發現被駭客組織STRONTIUM 利用。

CVE-2023-24880:Windows SmartScreen 安全功能繞過漏洞

可以通過製作惡意檔案來逃避 Web 標記 (MOTW) 防禦,從而導致安全功能(例如 Microsoft Office 中的受保護視圖)受到損壞,這些功能依賴於 MOTW 標記。該漏洞目前已經公開披露,且已發現被Magniber 勒索軟體利用,GoogleTAG表示該漏洞為微軟2022年12月修復的CVE-2022-44698(Windows SmartScreen 安全功能繞過漏洞)的繞過。

本次安全更新中評級為嚴重的9個漏洞包括:

lCVE-2023-23415:網際網路控制訊息協議 (ICMP) 遠端程式碼執行漏洞

該漏洞的CVSSv3評分為9.8,可以向目標主機發送一個低級協議錯誤,在另一個ICMP資料包的報頭中包含一個碎片IP資料包。要觸發易受攻擊的程式碼路徑,目標主機上的應用程序必須綁定到原始套接字。

lCVE-2023-23397:Microsoft Outlook 特權提升漏洞

lCVE-2023-23404:Windows 點對點隧道協議遠端程式碼執行漏洞

該漏洞的CVSSv3評分為8.1,未經身份驗證的威脅者可以向 RAS 伺服器發送特製連接請求,這可能導致 RAS 伺服器計算機上的遠端程式碼執行。但利用該漏洞需要贏得競爭條件。

lCVE-2023-23411:Windows Hyper-V 拒絕服務漏洞

該漏洞的CVSSv3評分為6.5,成功利用該漏洞可能導致Hyper-V guest影響 Hyper-V 主機的功能。

lCVE-2023-23416:Windows 加密服務遠端程式碼執行漏洞

該漏洞的CVSSv3評分為8.4,威脅者可以通過誘導經過身份驗證的使用者在受影響的系統上匯入惡意證書來利用該漏洞,可能導致任意程式碼執行。

lCVE-2023-23392:HTTP協議棧遠端程式碼執行漏洞

該漏洞的CVSSv3評分為9.8,未經身份驗證的威脅者可以通過將特製的資料包發送到目標伺服器,利用 HTTP 協議棧 (http.sys) 來處理資料包。

lCVE-2023-21708:Remote Procedure Call Runtime遠端程式碼執行漏洞

該漏洞的CVSSv3評分為9.8,未經身份驗證的威脅者需要向 RPC 主機發送特製的 RPC 調用來利用該漏洞,可能導致在伺服器端以與 RPC 服務相同的許可權執行遠端程式碼。可以通過在企業外圍防火牆上阻斷TCP 135埠來減少針對該漏洞的攻擊。

lCERT/CC:CVE-2023-1017 TPM2.0 模組庫特權提升漏洞

該漏洞為第三方驅動程序中的漏洞,其CVSSv3評分為8.8,可能導致根分區中的越界寫入。

lCERT/CC:CVE-2023-1018 TPM2.0 模組庫特權提升漏洞

該漏洞為第三方驅動程序中的漏洞,其CVSSv3評分為8.8。

微軟3月更新涉及的完整漏洞列表如下:

CVECVE 標題嚴重性
CVE-2023-23415網際網路控制訊息協議 (ICMP) 遠端程式碼執行漏洞嚴重
CVE-2023-23397Microsoft Outlook 特權提升漏洞嚴重
CVE-2023-23404Windows 點對點隧道協議遠端程式碼執行漏洞嚴重
CVE-2023-23411Windows Hyper-V 拒絕服務漏洞嚴重
CVE-2023-23416Windows 加密服務遠端程式碼執行漏洞嚴重
CVE-2023-23392HTTP協議棧遠端程式碼執行漏洞嚴重
CVE-2023-21708Remote Procedure Call Runtime遠端程式碼執行漏洞嚴重
CVE-2023-1017CERT/CC:CVE-2023-1017 TPM2.0 模組庫特權提升漏洞嚴重
CVE-2023-1018CERT/CC:CVE-2023-1018 TPM2.0 模組庫特權提升漏洞嚴重
CVE-2023-23408Azure Apache Ambari 欺騙漏洞高危
CVE-2023-23409客戶端伺服器運行時子系統 (CSRSS) 資訊洩露漏洞高危
CVE-2023-23394客戶端伺服器運行時子系統 (CSRSS) 資訊洩露漏洞高危
CVE-2023-23388Windows 藍牙驅動程序特權提升漏洞高危
CVE-2023-24920Microsoft Dynamics 365 (on-premises) 跨站腳本漏洞高危
CVE-2023-24879Microsoft Dynamics 365 (on-premises) 跨站腳本漏洞高危
CVE-2023-24919Microsoft Dynamics 365 (on-premises) 跨站腳本漏洞高危
CVE-2023-24891Microsoft Dynamics 365 (on-premises) 跨站腳本漏洞高危
CVE-2023-24922Microsoft Dynamics 365 資訊洩露漏洞高危
CVE-2023-24921Microsoft Dynamics 365 (on-premises) 跨站腳本漏洞高危
CVE-2023-24892Microsoft Edge(基於 Chromium)Webview2 欺騙漏洞高危
CVE-2023-24910Windows 圖形元件特權提升漏洞高危
CVE-2023-23398Microsoft Excel 欺騙漏洞高危
CVE-2023-23396Microsoft Excel 拒絕服務漏洞高危
CVE-2023-23399Microsoft Excel 遠端程式碼執行漏洞高危
CVE-2023-23395Microsoft SharePoint Server 欺騙漏洞高危
CVE-2023-24890Microsoft OneDrive for iOS 安全功能繞過漏洞高危
CVE-2023-24930Microsoft OneDrive for MacOS 特權提升漏洞高危
CVE-2023-24882Microsoft OneDrive for Android 資訊洩露漏洞高危
CVE-2023-24923Microsoft OneDrive for Android 資訊洩露漏洞高危
CVE-2023-24907Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞高危
CVE-2023-24857Microsoft PostScript 和 PCL6 類列印機驅動程序資訊洩露漏洞高危
CVE-2023-24868Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞高危
CVE-2023-24872Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞高危
CVE-2023-24876Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞高危
CVE-2023-24913Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞高危
CVE-2023-24864Microsoft PostScript 和 PCL6 類列印機驅動程序特權提升漏洞高危
CVE-2023-24866Microsoft PostScript 和 PCL6 類列印機驅動程序資訊洩露漏洞高危
CVE-2023-24906Microsoft PostScript 和 PCL6 類列印機驅動程序資訊洩露漏洞高危
CVE-2023-24867Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞高危
CVE-2023-24863Microsoft PostScript 和 PCL6 類列印機驅動程序資訊洩露漏洞高危
CVE-2023-24858Microsoft PostScript 和 PCL6 類列印機驅動程序資訊洩露漏洞高危
CVE-2023-24911Microsoft PostScript 和 PCL6 類列印機驅動程序資訊洩露漏洞高危
CVE-2023-24870Microsoft PostScript 和 PCL6 類列印機驅動程序資訊洩露漏洞高危
CVE-2023-24909Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞高危
CVE-2023-23406Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞高危
CVE-2023-23413Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞高危
CVE-2023-24856Microsoft PostScript 和 PCL6 類列印機驅動程序資訊洩露漏洞高危
CVE-2023-24865Microsoft PostScript 和 PCL6 類列印機驅動程序資訊洩露漏洞高危
CVE-2023-23403Microsoft PostScript 和 PCL6 類列印機驅動程序遠端程式碼執行漏洞高危
CVE-2023-23401Windows Media 遠端程式碼執行漏洞高危
CVE-2023-23402Windows Media 遠端程式碼執行漏洞高危
CVE-2023-23391Office for Android 欺騙漏洞高危
CVE-2023-23400Windows DNS 伺服器遠端程式碼執行漏洞高危
CVE-2023-23383Service Fabric Explorer 欺騙漏洞高危
CVE-2023-23618GitHub:CVE-2023-23618 Git for Windows 遠端程式碼執行漏洞高危
CVE-2023-22743GitHub:CVE-2023-22743 Git for Windows Installer 特權提升漏洞高危
CVE-2023-23946GitHub:CVE-2023-23946 mingit 遠端程式碼執行漏洞高危
CVE-2023-22490GitHub:CVE-2023-22490 mingit 資訊洩露漏洞高危
CVE-2023-23412Windows 帳戶圖片特權提升漏洞高危
CVE-2023-24871Windows 藍牙服務遠端程式碼執行漏洞高危
CVE-2023-23393Windows BrokerInfrastructure 服務特權提升漏洞高危
CVE-2023-23389Microsoft Defender 特權提升漏洞高危
CVE-2023-23410Windows HTTP.sys 特權提升漏洞高危
CVE-2023-24859Windows Internet 金鑰交換 (IKE) 擴展拒絕服務漏洞高危
CVE-2023-23420Windows 核心特權提升漏洞高危
CVE-2023-23422Windows 核心特權提升漏洞高危
CVE-2023-23421Windows 核心特權提升漏洞高危
CVE-2023-23423Windows 核心特權提升漏洞高危
CVE-2023-23417Windows 分區管理驅動程序特權提升漏洞高危
CVE-2023-23407Windows 乙太網點對點協議 (PPPoE) 遠端程式碼執行漏洞高危
CVE-2023-23385Windows 乙太網點對點協議 (PPPoE) 特權提升漏洞高危
CVE-2023-23414Windows 乙太網點對點協議 (PPPoE) 遠端程式碼執行漏洞高危
CVE-2023-23405Remote Procedure Call Runtime遠端程式碼執行漏洞高危
CVE-2023-24869Remote Procedure Call Runtime遠端程式碼執行漏洞高危
CVE-2023-24908Remote Procedure Call Runtime遠端程式碼執行漏洞高危
CVE-2023-23419Windows 彈性檔案系統 (ReFS) 特權提升漏洞高危
CVE-2023-23418Windows 彈性檔案系統 (ReFS) 特權提升漏洞高危
CVE-2023-24862Windows 安全通道拒絕服務漏洞高危
CVE-2023-24861Windows 圖形元件特權提升漏洞高危
CVE-2023-24880Windows SmartScreen 安全功能繞過漏洞中危
CVE-2023-0567PHP Password_verify()驗證錯誤漏洞未知
CVE-2023-20052ClamAV 資訊洩露漏洞未知
CVE-2023-20032ClamAV 遠端程式碼執行漏洞未知
CVE-2023-1236Chromium:CVE-2023-1236 內部實現不當未知
CVE-2023-1235Chromium:DevTools 中的 CVE-2023-1235 類型混淆未知
CVE-2023-1213Chromium:CVE-2023-1213 在 Swiftshader 中釋放後使用未知
CVE-2023-1234Chromium:CVE-2023-1234 Intents 中的不當實施未知
CVE-2023-1223Chromium:CVE-2023-1223 自動填充中的政策執行不足未知
CVE-2023-1222Chromium:CVE-2023-1222 Web Audio API 中的堆緩衝區溢出未知
CVE-2023-1221Chromium:CVE-2023-1221 擴展 API 中的政策執行不足未知
CVE-2023-1229Chromium:CVE-2023-1229 在Permission prompts中實施不當未知
CVE-2023-1228Chromium:CVE-2023-1228 Intents中的政策執行不足未知
CVE-2023-1224Chromium:CVE-2023-1224 Web 支付 API 中的政策執行不足未知
CVE-2023-1220Chromium:UMA 中的 CVE-2023-1220 堆緩衝區溢出未知
CVE-2023-1216Chromium:CVE-2023-1216 在 DevTools 中釋放後使用未知
CVE-2023-1215Chromium:CVE-2023-1215 CSS 中的類型混淆未知
CVE-2023-1214Chromium:V8 中的 CVE-2023-1214 類型混淆未知
CVE-2023-1219Chromium:指標中的 CVE-2023-1219 堆緩衝區溢出未知
CVE-2023-1218Chromium:CVE-2023-1218 在 WebRTC 中免費使用未知
CVE-2023-1217Chromium:CVE-2023-217崩潰報告中的堆疊緩衝區溢出未知
CVE-2023-1230Chromium:CVE-2023-1230 WebApp 安裝中的不當實施未知
CVE-2023-1232Chromium:CVE-2023-1232 Resource Timing 中的策略執行不足未知
CVE-2023-1233Chromium:CVE-2023-1233 Resource Timing 中的策略執行不足未知
CVE-2023-1231Chromium:CVE-2023-1231 在自動填充中實施不當未知

二、影響範圍

受影響的產品/功能/服務/元件包括:

Azure

Client Server Run-time Subsystem (CSRSS)

Internet Control Message Protocol (ICMP)

Microsoft Bluetooth Driver

Microsoft Dynamics

Microsoft Edge (Chromium-based)

Microsoft Graphics Component

Microsoft Office Excel

Microsoft Office Outlook

Microsoft Office SharePoint

Microsoft OneDrive

Microsoft PostScript Printer Driver

Microsoft Printer Drivers

Microsoft Windows Codecs Library

Office for Android

Remote Access Service Point-to-Point Tunneling Protocol

Role: DNS Server

Role: Windows Hyper-V

Service Fabric

Visual Studio

Windows Accounts Control

Windows Bluetooth Service

Windows Central Resource Manager

Windows Cryptographic Services

Windows Defender

Windows HTTP Protocol Stack

Windows HTTP.sys

Windows Internet Key Exchange (IKE) Protocol

Windows Kernel

Windows Partition Management Driver

Windows Point-to-Point Protocol over Ethernet (PPPoE)

Windows Remote Procedure Call

Windows Remote Procedure Call Runtime

Windows Resilient File System (ReFS)

Windows Secure Channel

Windows SmartScreen

Windows TPM

Windows Win32K

三、安全措施

3.1 升級版本

目前微軟已發佈相關安全更新,建議受影響的使用者儘快修復。

(一) Windows Update自動更新

Microsoft Update默認啟用,當系統檢測到可用更新時,將會自動下載更新並在下一次啟動時安裝。也可選擇通過以下步驟手動進行更新:

1、點選「開始菜單」或按Windows快捷鍵,點選進入「設置」

2、選擇「更新和安全」,進入「Windows更新」(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入「Windows更新」,具體步驟為「控制面板」->「系統和安全」->「Windows更新」)

3、選擇「檢查更新」,等待系統自動檢查並下載可用更新。

4、更新完成後重啟計算機,可通過進入「Windows更新」->「查看更新歷史記錄」查看是否成功安裝了更新。對於沒有成功安裝的更新,可以點選該更新名稱進入微軟官方更新描述連結,點選最新的SSU名稱並在新連結中點選「Microsoft 更新目錄」,然後在新連結中選擇適用於目標系統的補丁進行下載並安裝。

(二) 手動安裝更新

Microsoft官方下載相應補丁進行更新。

2023年3月安全更新下載連結:

https://msrc.microsoft.com/update-guide/releaseNote/2023-Mar

補丁下載示例:

1.打開上述下載連結,點選漏洞列表中要修復的CVE連結。

例1:微軟漏洞列表示例(2022年2月)

2.在微軟公告頁面底部左側【產品】選擇相應的系統類型,點選右側【下載】處打開補丁下載連結。

例2:CVE-2022-21989補丁下載示例

3.點選【安全更新】,打開補丁下載頁面,下載相應補丁並進行安裝。

例3:補丁下載界面

例3:補丁下載界面

4.安裝完成後重啟計算機。

3.2 臨時措施

針對CVE-2023-23397(Microsoft Outlook 特權提升漏洞),受影響使用者可參考官方公告及時安裝補丁,也可參考微軟安全響應中心發佈的緩解指南。

https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/

3.3 通用建議

定期更新系統補丁,減少系統漏洞,提升伺服器的安全性。

加強系統和網路的訪問控制,修改防火牆策略,關閉非必要的應用埠或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。

使用企業級安全產品,提升企業的網路安全性能。

加強系統使用者和許可權管理,啟用多因素認證機制和最小許可權原則,使用者和軟體許可權應保持在最低限度。

啟用強密碼策略並設置為定期修改。

3.4 參考連結

https://msrc.microsoft.com/update-guide/releaseNote/2023-Mar

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2023-patch-tuesday-fixes-2-zero-days-83-flaws/

相關文章

SessionManager的分析

SessionManager的分析

2022-07-07

簡介 繼之前發現Owowa 之後,研究人員繼續在IIS中尋找更多可能設置為惡意程序的後門。2021 年,研究人員發現幾個攻擊者在利用Micr...