本期精选

• 微软2023年2月补丁修复了77个漏洞，內含多个在野0day漏洞
• 新型的Windows本地提权漏洞“LocalPotato”公开了细节
• Recorded Future发布了一份Vmware ESXi的安全状况调查分析报告
• Coblat Strike将使用一种计时器动态欺骗调用堆栈的EDR规避技术
• 苹果发布安全更新修复在野0day漏洞
• NVIDIA AI红队分享了一些Jupyter环境的安全评估心得
• Splunk发布了如何获取IIS关键日志进行威胁狩猎的方法
• Zscaler ThreatLabz团队发现使用开源C2框架Havoc的一些攻击活动

微软2023年2月补丁修复了77个漏洞，內含多个在野0day漏洞

CVE-2023-23376是windows通用日志文件系统驱动程序的提权漏洞，目前没有更多的在野细节，似乎是微软自己的遥测运营发现。

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23376

CVE-2023-21715是Publisher (.pub) 文件的MOTW提示的绕过漏洞，这是一个历史遗留问题。

https://www.securesystems.de/blog/offphish-phishing-revisited-in-2023/

CVE-2023-21716是RTF文档的远程代码执行漏洞，Office文档长期没有曝0day漏洞了。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716

CVE-2023-21529漏洞似乎是CVE-2022-41082（Exchange PowerShell Deserialization of Untrusted Data to RCE）漏洞补丁的绕过

https://securelist.com/cve-2022-41040-and-cve-2022-41082-zero-days-in-ms-exchange/108364/

新型的Windows本地提权漏洞“LocalPotato”公开了细节

Potato系列的漏洞是一种本地的NTLM反射攻击利用，较早公开的原型是Google Project Zero 的James Forshaw发布的Local WebDAV NTLM Reflection

https://web.archive.org/web/20160110043617/https://code.google.com/p/google-security-research/issues/detail?id=222

LocalPotato是微软1月补丁的一个漏洞，此次的漏洞利用了一个逻辑错误，是一种Auth Context交换攻击，可以让非特权客户端与特权服务的通信过程中，通过操作Context的交换，窃取特权服务的权限。

https://github.com/decoder-it/LocalPotato

Recorded Future发布了一份Vmware ESXi的安全状况调查分析报告

原文始发于微信公众号（赛博攻防悟道）：先进攻防情报精选-第2期