【风险提示】天融信关于微软2023年12月安全更新的风险提示

0x00 背景介绍

---

2023年12月13日，天融信阿尔法实验室监测到微软官方发布了12月安全更新。此次更新官方发布了微软系列软件的安全补丁，共修复36个漏洞（不包含1个外部分配漏洞和本月早些时候发布的5个Edge漏洞），其中4个严重漏洞(Critical)、29个重要漏洞(Important)、1个中危漏洞(Moderate)、2个低危漏洞(Low)。权限提升漏洞11个、远程代码执行漏洞8个、信息泄露漏洞7个、拒绝服务漏洞5个、欺骗漏洞4个、XSS漏洞1个。

本次微软安全更新涉及组件包括：Windows MSHTML Platform、Windows Win32K、Windows Internet Connection Sharing (ICS)、Windows Kernel、Windows Kernel-Mode Drivers、Windows Telephony Server、Windows Defender、Windows Local Security Authority Subsystem Service (LSASS)、Windows Cloud Files Mini Filter Driver、Microsoft Office等多个产品和组件。

0x01 重点漏洞描述

---

本次微软更新中重点漏洞的信息如下所示。

• 漏洞利用可能性较大的漏洞

CVE	漏洞名称	CVSS3.1
CVE-2023-35628	Windows MSHTML平台远程代码执行漏洞	8.1/7.1
CVE-2023-35631	Windows Win32k本地权限提升漏洞	7.8/6.8
CVE-2023-36011	Windows Win32k本地权限提升漏洞	7.8/6.8
CVE-2023-35632	WinSock的Windows辅助功能驱动本地权限提升漏洞	7.8/6.8
CVE-2023-35633	Windows Kernel本地权限提升漏洞	7.8/6.8
CVE-2023-35641	Internet连接共享(ICS)远程代码执行漏洞	8.8/7.7
CVE-2023-35644	Windows Sysmain服务本地权限提升漏洞	7.8/6.8
CVE-2023-36005	Windows Telephony Server权限提升漏洞	7.5/6.5
CVE-2023-36010	Microsoft Defender拒绝服务漏洞	7.5/6.5
CVE-2023-36391	本地安全认证子系统服务（LSASS）本地权限提升漏洞	7.8/6.8
CVE-2023-36696	Windows Cloud Files微过滤器驱动本地权限提升漏洞	7.8/6.8

• CVE-2023-35628：Windows MSHTML平台远程代码执行漏洞
  

未经身份认证的远程攻击者通过向受害者发送包含恶意链接的电子邮件或即时消息并说服其单击该链接来利用此漏洞。成功利用此漏洞依赖于复杂的内存布局技术。

在电子邮件攻击场景中，不要求受害者打开、阅读或单击邮件中的恶意链接，就可以成功利用此漏洞。该漏洞会在Outlook客户端检索和处理攻击者发送的电子邮件时自动触发，这可能会导致通过预览窗格查看电子邮件来触发此漏洞。

• CVE-2023-35631、CVE-2023-36011：Windows Win32k本地权限提升漏洞
  

这两个漏洞是Windows Win32k驱动程序中的本地权限提升漏洞，经过普通用户身份认证的本地攻击者通过运行特制的程序来利用这些漏洞。成功利用这些漏洞的攻击者可以获得目标系统的SYSTEM权限。

• CVE-2023-35632：WinSock的Windows辅助功能驱动本地权限提升漏洞
  

经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

• CVE-2023-35633：Windows Kernel本地权限提升漏洞
  

经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

• CVE-2023-35641：Internet连接共享(ICS)远程代码执行漏洞
  

未经身份认证的远程攻击者通过向运行Internet连接共享服务的服务器发送恶意制作的DHCP消息来利用此漏洞，成功利用此漏洞可使攻击者获得在目标系统上远程执行代码的能力。

要想利用此漏洞，需要攻击者与目标系统处于同一个局域网中，无法跨越多个网络（如：WAN）执行攻击，并且仅限于同一网络交换机或虚拟网络上的目标系统。

• CVE-2023-35644：Windows Sysmain服务本地权限提升漏洞
  

经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

• CVE-2023-36005：Windows Telephony Server权限提升漏洞
  

经过普通用户身份认证的远程攻击者能够利用此漏洞在目标系统中以“NT AUTHORITYNetwork Service”权限执行代码。成功利用此漏洞需要攻击者赢得竞争条件。

• CVE-2023-36010：Microsoft Defender拒绝服务漏洞
  

未经身份认证的远程攻击者能够利用此漏洞使目标系统中的Microsoft Defender程序拒绝服务。这一漏洞的存在是因为在Microsoft Defender中未充分验证用户提供的输入，远程攻击者可以向应用程序输入特制的数据，进而实施拒绝服务（DoS）攻击。

• CVE-2023-36391：本地安全认证子系统服务（LSASS）本地权限提升漏洞

经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

• CVE-2023-36696：Windows Cloud Files微过滤器驱动本地权限提升漏洞

经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得目标系统的SYSTEM权限。

• 高评分漏洞

CVE	漏洞名称	CVSS3.1
CVE-2023-35618	Microsoft Edge(基于Chromium)权限提升漏洞	9.6/8.3
CVE-2023-36019	Microsoft Power Platform链接器欺骗漏洞	9.6/8.3
CVE-2023-35630	Internet连接共享(ICS)远程代码执行漏洞	8.8/7.7
CVE-2023-35639	Microsoft ODBC驱动远程代码执行漏洞	8.8/7.7
CVE-2023-36006	Microsoft SQL Server的WDAC OLE DB提供程序远程代码执行漏洞	8.8/7.7

• CVE-2023-35618：Microsoft Edge(基于Chromium)权限提升漏洞
  

此漏洞是Microsoft Edge(基于Chromium)中微软代码中的权限提升漏洞。在基于Web的攻击场景中，远程攻击者通过将特制的网站托管在一个服务器上，并诱导受害者使用Microsoft Edge访问指向该网站的链接来利用此漏洞。

成功利用此漏洞的攻击者会获得在目标系统上执行代码所需的权限。攻击者利用此漏洞可进行Microsoft Edge沙箱逃逸。

• CVE-2023-36019：Microsoft Power Platform连接器欺骗漏洞
  

未经身份认证的远程攻击者可向受害者发送特制的URL来利用此漏洞。受害者点击特制的URL，会在客户端的浏览器上执行恶意脚本。

自2023年11月17日起，新创建的使用OAuth 2.0进行身份认证的自定义连接器将自动拥有每个连接器重定向URI。现有OAuth 2.0连接器必须在2024年2月17日之前更新为使用每个连接器重定向URI。有关详细信息，请参阅如下链接。

https://learn.microsoft.com/en-us/connectors/custom-connectors/#21-oauth-20

• CVE-2023-35630：Internet连接共享(ICS)远程代码执行漏洞
  

未经身份认证的远程攻击者通过向运行Internet连接共享服务的服务器发送恶意制作的DHCP消息来利用此漏洞（需要修改DHCPV6_MESSAGE_INFORMATION_REQUEST输入消息中的option->length字段），成功利用此漏洞，可使攻击者获得在目标系统上远程执行代码的能力。

要想利用此漏洞，需要攻击者与目标系统处于同一个局域网中，无法跨越多个网络（如：WAN）执行攻击，并且仅限于同一网络交换机或虚拟网络上的目标系统。

• CVE-2023-35639：Microsoft ODBC驱动远程代码执行漏洞
  

未经身份认证的远程攻击者通过欺骗经过身份认证的用户尝试通过SQL客户端（OLEDB）连接到恶意SQL服务器来利用此漏洞，这可能会导致服务器接收到恶意网络数据包，并允许攻击者在受害者SQL客户端上远程执行代码。

• CVE-2023-36006：Microsoft SQL Server的WDAC OLE DB提供程序远程代码执行漏洞
  

未经身份认证的远程攻击者通过欺骗经过身份认证的用户尝试通过SQL客户端（OLEDB）连接到恶意SQL服务器来利用此漏洞，这可能会导致客户端接收到恶意网络数据包，并允许攻击者在用户SQL客户端上远程执行代码。

0x02 影响版本

---

影响多个主流版本的Windows，多个主流版本的Microsoft系列软件。

0x03 修复建议

---

• Windows自动更新

Windows系统默认启用Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

• 手动安装补丁
  

另外，对于不能自动更新的系统版本，可参考以下链接下载适用于该系统的12月补丁并安装：

https://msrc.microsoft.com/update-guide/releaseNote/2023-Dec

原文始发于微信公众号（天融信阿尔法实验室）：【风险提示】天融信关于微软2023年12月安全更新的风险提示