苹果发布了13日发布了三个漏洞,微软在2023年2月份的第二个周二,如期而至。此次,微软周二发布安全更新,解决了其产品组合中的 75 个漏洞,其中三个漏洞已在野外被积极利用。
过去一个月,Windows 制造商在其基于 Chromium 的 Edge 浏览器中修复了22 个漏洞,此外还有这些更新。
在 75 个漏洞中,9 个被评为严重,66 个被评为重要。75 个错误中有 37 个被归类为远程代码执行 (RCE) 缺陷。被利用的三个0day note如下——
CVE-2023-21715(CVSS 评分:7.3)- Microsoft Office 安全功能绕过漏洞
CVE-2023-21823(CVSS 评分:7.8)- Windows 图形组件特权提升漏洞
CVE-2023-23376(CVSS 分数:7.8)- Windows 通用日志文件系统 (CLFS) 驱动程序特权提升漏洞
微软在 CVE-2023-21715 的咨询中说:“攻击本身是由对目标系统进行身份验证的用户在本地执行的。经过身份验证的攻击者可以通过社会工程说服受害者从网站下载并打开特制文件来利用此漏洞,这可能会导致对受害者计算机的本地攻击。”
成功利用上述缺陷可能使攻击者能够绕过用于阻止不受信任或恶意文件或获得 SYSTEM 权限的 Office 宏策略。
本月发布的新 CVE 均未被列为公开漏洞,但有 3 个漏洞在发布时被列为正在被利用的漏洞。让我们仔细看看本月的一些更有趣的更新,从受到积极攻击的错误开始:
- CVE-2023-21715 – Microsoft Office 安全功能绕过漏洞
Microsoft 将其列为活跃漏洞,但他们没有提供有关这些漏洞可能有多广泛的信息。根据这篇文章,这听起来更像是一种特权升级,而不是安全功能绕过,但无论如何,不应忽视对常见企业应用程序的主动攻击。当安全功能不仅被绕过而且被利用时,它总是令人震惊。让我们希望修复能够全面解决问题。
- CVE-2023-23376 – Windows 通用日志文件系统驱动程序特权提升漏洞
这是 2 月份受到积极攻击的另一个漏洞,遗憾的是,关于此特权提升的信息很少。Microsoft 确实注意到该漏洞将允许攻击者将代码用作 SYSTEM,这将允许他们完全接管目标。这很可能与 RCE 错误链接在一起以传播恶意软件或勒索软件。考虑到这是由 Microsoft 的威胁情报中心(又名 MSTIC)发现的,这可能意味着它被高级威胁参与者使用。无论哪种方式,请确保您快速测试并推出这些修复程序。
- CVE-2023-21716 – Microsoft Word 远程代码执行漏洞
通常情况下,Word 错误不会引起太多关注 – 除非 Outlook 预览窗格是一个攻击媒介,这里就是这种情况。攻击者可以利用此 CVSS 9.8 错误在登录用户级别执行代码,而无需用户交互。当与上面提到的特权升级错误配对时,攻击者可以完全破坏目标。如果您以管理员身份登录,则不需要升级,这是您不应以管理员身份登录以执行非管理员任务的另一个原因。
- CVE-2023-21529 – Microsoft Exchange Server 远程代码执行漏洞
本月有多个 Exchange RCE 漏洞得到修复,但 ZDI 的 Piotr Bazydło 报告的这个漏洞很突出,因为它是去年秋天 Exchange 中修复不完整的结果。虽然此漏洞确实需要身份验证,但它允许任何有权访问 Exchange PowerShell 后端的用户接管 Exchange 服务器。我知道应用 Exchange 补丁并不好玩,通常需要周末停机,但这些更新仍应被视为优先事项。
2 月发布的版本修复了 10 个不同的拒绝服务 (DoS) 漏洞。对于其中的大多数,微软并未提供有关这些漏洞的真实细节,因此尚不清楚成功利用漏洞是否会导致服务停止或系统崩溃。在 Visual Studio 中有一些关于 DoS 的信息。经过身份验证的攻击者可以利用此漏洞在执行 Visual Studio 安装程序时将一个文件替换为另一个文件。
Power BI 中的欺骗错误被评为重要,可能允许攻击者修改报告文件的内容。这也可能导致运行 JavaScript。关于 OneNote 欺骗漏洞的信息不多,但请注意,根据 OneNote 的版本,可能需要访问 Microsoft 或 Google Play 商店进行更新。
网络安全等级保护:网络产品和服务安全通用要求之基本级安全通用要求
网络安全等级保护:网络产品和服务安全通用要求之增强级安全通用要求
网络安全等级保护:哪些国家标准等同国际ISO 27000标准?
网络安全等级保护:网络安全等级保护和信息安全技术国家标准列表
>>>供应链安全<<<
>>>其他<<<
联系客服