微软2023年2月份于周二补丁日针对98个漏洞发布安全补丁

苹果发布了13日发布了三个漏洞，微软在2023年2月份的第二个周二，如期而至。此次，微软周二发布安全更新，解决了其产品组合中的 75 个漏洞，其中三个漏洞已在野外被积极利用。

过去一个月，Windows 制造商在其基于 Chromium 的 Edge 浏览器中修复了22 个漏洞，此外还有这些更新。

在 75 个漏洞中，9 个被评为严重，66 个被评为重要。75 个错误中有 37 个被归类为远程代码执行 (RCE) 缺陷。被利用的三个0day note如下——

• CVE-2023-21715（CVSS 评分：7.3）- Microsoft Office 安全功能绕过漏洞

• CVE-2023-21823（CVSS 评分：7.8）- Windows 图形组件特权提升漏洞

• CVE-2023-23376（CVSS 分数：7.8）- Windows 通用日志文件系统 (CLFS) 驱动程序特权提升漏洞

微软在 CVE-2023-21715 的咨询中说：“攻击本身是由对目标系统进行身份验证的用户在本地执行的。经过身份验证的攻击者可以通过社会工程说服受害者从网站下载并打开特制文件来利用此漏洞，这可能会导致对受害者计算机的本地攻击。”

成功利用上述缺陷可能使攻击者能够绕过用于阻止不受信任或恶意文件或获得 SYSTEM 权限的 Office 宏策略。

本月发布的新 CVE 均未被列为公开漏洞，但有 3 个漏洞在发布时被列为正在被利用的漏洞。让我们仔细看看本月的一些更有趣的更新，从受到积极攻击的错误开始：

-        CVE-2023-21715 – Microsoft Office 安全功能绕过漏洞
Microsoft 将其列为活跃漏洞，但他们没有提供有关这些漏洞可能有多广泛的信息。根据这篇文章，这听起来更像是一种特权升级，而不是安全功能绕过，但无论如何，不应忽视对常见企业应用程序的主动攻击。当安全功能不仅被绕过而且被利用时，它总是令人震惊。让我们希望修复能够全面解决问题。

-        CVE-2023-23376 – Windows 通用日志文件系统驱动程序特权提升漏洞
这是 2 月份受到积极攻击的另一个漏洞，遗憾的是，关于此特权提升的信息很少。Microsoft 确实注意到该漏洞将允许攻击者将代码用作 SYSTEM，这将允许他们完全接管目标。这很可能与 RCE 错误链接在一起以传播恶意软件或勒索软件。考虑到这是由 Microsoft 的威胁情报中心（又名 MSTIC）发现的，这可能意味着它被高级威胁参与者使用。无论哪种方式，请确保您快速测试并推出这些修复程序。

 -        CVE-2023-21716 – Microsoft Word 远程代码执行漏洞
通常情况下，Word 错误不会引起太多关注 – 除非 Outlook 预览窗格是一个攻击媒介，这里就是这种情况。攻击者可以利用此 CVSS 9.8 错误在登录用户级别执行代码，而无需用户交互。当与上面提到的特权升级错误配对时，攻击者可以完全破坏目标。如果您以管理员身份登录，则不需要升级，这是您不应以管理员身份登录以执行非管理员任务的另一个原因。

-        CVE-2023-21529 – Microsoft Exchange Server 远程代码执行漏洞
本月有多个 Exchange RCE 漏洞得到修复，但 ZDI 的 Piotr Bazydło 报告的这个漏洞很突出，因为它是去年秋天 Exchange 中修复不完整的结果。虽然此漏洞确实需要身份验证，但它允许任何有权访问 Exchange PowerShell 后端的用户接管 Exchange 服务器。我知道应用 Exchange 补丁并不好玩，通常需要周末停机，但这些更新仍应被视为优先事项。

2 月发布的版本修复了 10 个不同的拒绝服务 (DoS) 漏洞。对于其中的大多数，微软并未提供有关这些漏洞的真实细节，因此尚不清楚成功利用漏洞是否会导致服务停止或系统崩溃。在 Visual Studio 中有一些关于 DoS 的信息。经过身份验证的攻击者可以利用此漏洞在执行 Visual Studio 安装程序时将一个文件替换为另一个文件。

Power BI 中的欺骗错误被评为重要，可能允许攻击者修改报告文件的内容。这也可能导致运行 JavaScript。关于 OneNote 欺骗漏洞的信息不多，但请注意，根据 OneNote 的版本，可能需要访问 Microsoft 或 Google Play 商店进行更新。

1. >>>等级保护<<<

网络安全等级保护：信息安全技术网络安全漏洞管理规范

网络安全等级保护：网络产品和服务安全通用要求之基本级安全通用要求

网络安全等级保护：网络产品和服务安全通用要求之增强级安全通用要求

网络安全等级保护：正确理解等保与关保的关系

网络安全等级保护：哪些国家标准等同国际ISO 27000标准？

网络安全等级保护：网络安全等级保护和信息安全技术国家标准列表

1. 开启等级保护之路：GB 17859网络安全等级保护上位标准
2. 回看等级保护：重要政策规范性文件43号文（上）
3. 网络安全等级保护：安全管理中心测评PPT
4. 网络安全等级保护：等级保护测评过程要求PPT
5. 网络安全等级保护：安全管理制度测评PPT
6. 等级保护测评之安全物理环境测评PPT
7. 网络安全等级保护：工业控制安全扩展测评PPT
8. 网络安全等级保护：浅谈网络安全等级保护整改
9. 网络安全等级保护：第三级网络安全设计技术要求整理汇总
10. 网络安全等级保护：等级测评中的渗透测试应该如何做
11. 网络安全等级保护：等级保护测评过程及各方责任
12. 网络安全等级保护：政务计算机终端核心配置规范思维导图
13. 网络安全等级保护：什么是等级保护？
    
14. 网络安全等级保护：信息技术服务过程一般要求
15. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
16. 闲话等级保护：什么是网络安全等级保护工作的内涵？
17. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
18. 闲话等级保护：测评师能力要求思维导图
    
19. 闲话等级保护：应急响应计划规范思维导图
    
20. 闲话等级保护：浅谈应急响应与保障
    
21. 闲话等级保护：如何做好网络总体安全规划
    
22. 闲话等级保护：如何做好网络安全设计与实施
    
23. 闲话等级保护：要做好网络安全运行与维护
    
24. 闲话等级保护：人员离岗管理的参考实践

25. 网络安全等级保护：浅谈物理位置选择测评项

26. 信息安全服务与信息系统生命周期的对应关系
27. >>>工控安全<<<
28. 工业控制系统安全：信息安全防护指南
29. 工业控制系统安全：工控系统信息安全分级规范思维导图
30. 工业控制系统安全：DCS防护要求思维导图
31. 工业控制系统安全：DCS管理要求思维导图
32. 工业控制系统安全：DCS评估指南思维导图
33. 工业控制安全：工业控制系统风险评估实施指南思维导图
34. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
35. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
36. >>>数据安全<<<

37. 数据安全风险评估清单

38. 专家解读：数据安全与数据安全法

39. 成功执行数据安全风险评估的3个步骤

40. 美国关键信息基础设施数据泄露的成本

41. VMware 发布9.8分高危漏洞补丁

42. 备份：网络和数据安全的最后一道防线

43. 数据安全：数据安全能力成熟度模型

44. 数据安全知识：什么是数据保护以及数据保护为何重要？

45. 信息安全技术：健康医疗数据安全指南思维导图

46. >>>供应链安全<<<

47. 美国政府为客户发布软件供应链安全指南
    

48. OpenSSF 采用微软内置的供应链安全框架
    

49. 供应链安全指南：了解组织为何应关注供应链网络安全
    

50. 供应链安全指南：确定组织中的关键参与者和评估风险
    

51. 供应链安全指南：了解关心的内容并确定其优先级

52. 供应链安全指南：为方法创建关键组件

53. 供应链安全指南：将方法整合到现有供应商合同中

54. 供应链安全指南：将方法应用于新的供应商关系

55. 供应链安全指南：建立基础，持续改进。

56. 思维导图：ICT供应链安全风险管理指南思维导图
    

57. 英国的供应链网络安全评估

58. >>>其他<<<

59. 网络安全十大安全漏洞

60. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

61. 网络安全等级保护：应急响应计划规范思维导图

62. 安全从组织内部人员开始

63. 影响2022 年网络安全的五个故事

64. 2023年的4大网络风险以及如何应对

65. 网络安全知识：物流业的网络安全

66. 网络安全知识：什么是AAA（认证、授权和记账）？
67. 网络安全知识：如何打破密码依赖循环
68. 面向中小企业的 7 条网络安全提示
69. 处理网络安全问题
70. 西门子报告2022年发现1,300 多个 ICS 漏洞

原文始发于微信公众号（祺印说信安）：微软2023年2月份于周二补丁日针对98个漏洞发布安全补丁