风险通告
|
编号 |
漏洞名称 |
风险等级 |
公开状态 |
利用可能 |
|
CVE-2023-24880 |
Windows SmartScreen 安全功能绕过漏洞 |
中危 |
公开 |
在野利用 |
|
CVE-2023-23397 |
Microsoft Outlook 权限提升漏洞 |
紧急 |
公开 |
在野利用 |
|
CVE-2023-23415 |
Internet Control Message Protocol (ICMP) 远程代码执行漏洞 |
紧急 |
未公开 |
较大 |
|
CVE-2023-23416 |
Windows Cryptographic Services 远程代码执行漏洞 |
紧急 |
未公开 |
较大 |
|
CVE-2023-23392 |
HTTP Protocol Stack 远程代码执行漏洞 |
紧急 |
未公开 |
较大 |
|
CVE-2023-23411 |
Windows Hyper-V 拒绝服务漏洞 |
紧急 |
未公开 |
一般 |
|
CVE-2023-1017 |
TPM2.0 Module Library权限提升漏洞 |
紧急 |
未公开 |
一般 |
|
CVE-2023-23404 |
Windows Point-to-Point Tunneling Protocol 远程代码执行漏洞 |
紧急 |
未公开 |
一般 |
|
CVE-2023-21708 |
Remote Procedure Call Runtime 远程代码执行漏洞 |
紧急 |
未公开 |
一般 |
|
CVE-2023-24861 |
Windows 图形组特权提升级漏洞 |
重要 |
未公开 |
较大 |
|
CVE-2023-23410 |
Windows HTTP.sys 权限提升漏洞 |
重要 |
未公开 |
较大 |
|
CVE-2023-23398 |
Microsoft Excel 欺骗漏洞 |
重要 |
未公开 |
较大 |
本次修复的漏洞中有2个漏洞已经检测到在野利用,包括CVE-2023-24880 Windows SmartScreen 安全功能绕过漏洞、CVE-2023-23397 Microsoft Outlook 权限提升漏洞。以下6个漏洞被微软标记为“Exploitation More Likely”,这代表这些漏洞更容易被利用:
-
CVE-2023-23392 HTTP 协议堆栈远程代码执行漏洞
-
CVE-2023-23398 Microsoft Excel 欺骗漏洞
-
CVE-2023-23410 Windows HTTP.sys 权限提升漏洞
-
CVE-2023-23416 Windows Cryptographic Services远程代码执行漏洞
-
CVE-2023-24861 Windows 图形组件权限提升漏洞
-
CVE-2023-23415 Internet Control Message Protocol (ICMP) 远程代码执行漏洞
以下漏洞由奇安信天工实验室安全研究员发现并提交,包括:CVE-2023-23394 客户端服务器运行时子系统 (CSRSS) 信息泄露漏洞、CVE-2023-23409 客户端服务器运行时子系统 (CSRSS) 信息泄露漏洞。
鉴于这些漏洞危害较大,建议客户尽快安装更新补丁。
-
CVE-2023-24880 Windows SmartScreen 安全功能绕过漏洞
-
CVE-2023-23397 Microsoft Outlook 权限提升漏洞
-
CVE-2023-23392 HTTP 协议堆栈远程代码执行漏洞
-
CVE-2023-23398 Microsoft Excel 欺骗漏洞
-
CVE-2023-23410 Windows HTTP.sys 权限提升漏洞
-
CVE-2023-23416 Windows Cryptographic Services远程代码执行漏洞
-
CVE-2023-24861 Windows 图形组件权限提升漏洞
-
CVE-2023-23415 Internet Control Message Protocol (ICMP) 远程代码执行漏洞
经研判,以下12个漏洞值得关注,漏洞的详细信息如下:
1、CVE-2023-24880 Windows SmartScreen 安全功能绕过漏洞
|
漏洞名称 |
Windows SmartScreen 安全功能绕过漏洞 |
||||
|
漏洞类型 |
安全特性绕过 |
风险等级 |
中危 |
漏洞ID |
CVE-2023-24880 |
|
公开状态 |
已公开 |
在野利用 |
已发现 |
||
|
漏洞描述 |
Windows SmartScreen 存在安全特性绕过漏洞,未经身份验证的远程攻击者可以诱骗受害者打开特制文件并绕过 Web 标记 (MOTW) 防御。此漏洞已被用于在野攻击。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-24880 |
|||||
2、CVE-2023-23397 Microsoft Outlook 权限提升漏洞
|
漏洞名称 |
Microsoft Outlook 权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
紧急 |
漏洞ID |
CVE-2023-23397 |
|
公开状态 |
已公开 |
在野利用 |
已发现 |
||
|
漏洞描述 |
Microsoft Outlook 存在权限提升漏洞,未经身份验证的远程攻击者可以向受害者发送特制的电子邮件,导致受害者连接到攻击者控制的外部 UNC 位置。这会将受害者的 Net-NTLMv2 散列泄露给攻击者,然后攻击者可以将其中继到另一个服务并作为受害者进行身份验证。值得注意的是,电子邮件服务器检索和处理电子邮件时(例如在预览窗格中查看电子邮件之前)会自动触发漏洞。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23397 |
|||||
3、CVE-2023-23415 Internet Control Message Protocol (ICMP) 远程代码执行漏洞
|
漏洞名称 |
Internet Control Message Protocol (ICMP) 远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2023-23415 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Internet Control Message Protocol (ICMP) 存在远程代码执行漏洞,未经身份验证的远程攻击者可通过向目标系统发送特制的ICMP报文来利用此漏洞,成功利用此漏洞可能在目标系统上执行任意代码。此漏洞触发存在前置条件,目标主机上需要运行绑定到原始套接字的应用程序。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23415 |
|||||
4、CVE-2023-23416 Windows Cryptographic Services远程代码执行漏洞
|
漏洞名称 |
Windows Cryptographic Services远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2023-23416 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows Cryptographic Services存在远程代码执行漏洞,利用该漏洞,需要在受影响的系统上导入恶意证书。攻击者可以将证书上传到处理或导入证书的服务,或者说服用户在他们的系统上导入证书。成功利用该漏洞可以在目标系统上以该用户权限执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23416 |
|||||
5、CVE-2023-23392 HTTP 协议堆栈远程代码执行漏洞
|
漏洞名称 |
HTTP 协议堆栈远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2023-23392 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
HTTP 协议堆栈存在远程代码执行漏洞,未经身份验证的远程攻击者可以特制的数据包发送到目标服务器,成功利用该漏洞在目标服务器上执行任意代码。服务器易受攻击的先决条件是绑定启用了 HTTP/3,并且服务器使用缓冲 I/O。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23392 |
|||||
6、CVE-2023-23411 Windows Hyper-V 拒绝服务漏洞
|
漏洞名称 |
Windows Hyper-V 拒绝服务漏洞 |
||||
|
漏洞类型 |
拒绝服务 |
风险等级 |
紧急 |
漏洞ID |
CVE-2023-23411 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows Hyper-V 存在拒绝服务漏洞,经过身份验证的攻击者可利用该漏洞导致Hyper-V 主机拒绝服务。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23411 |
|||||
7、TPM2.0 Module Library 权限提升漏洞
|
漏洞名称 |
TPM2.0 Module Library 权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
紧急 |
漏洞ID |
CVE-2023-1017 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
TPM2.0 Module Library存在越界写漏洞(CVE-2023-1017、CVE-2023-1018),经过身份验证的攻击者可以在缓冲区中越界写入两个字节,可导致拒绝服务或在 TPM 上下文中执行任意代码。来宾 VM 中经过身份验证的攻击者可通过向 Hyper-V 发送特制 TPM 命令来利用此漏洞,成功利用此漏洞可能获得提升的权限。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-1017 |
|||||
8、CVE-2023-23404 Windows Point-to-Point Tunneling Protocol远程代码执行漏洞
|
漏洞名称 |
Windows Point-to-Point Tunneling Protocol远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2023-23404 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows Point-to-Point Tunneling Protocol存在远程代码执行漏洞,未经身份验证的远程攻击者可以向目标 RAS 服务器发送特制连接请求,成功利用利用该漏洞可以在目标系统上执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23404 |
|||||
9、CVE-2023-21708 Remote Procedure Call Runtime远程代码执行漏洞
|
漏洞名称 |
Remote Procedure Call Runtime远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2023-21708 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Remote Procedure Call Runtime存在远程代码执行漏洞,未经身份验证的攻击者可以向目标RPC 主机发送特制的 RPC 调用。成功利用该漏洞可以在服务器端以与 RPC 服务相同的权限执行远程代码。在企业外围防火墙阻止TCP的135端口,可以降低一些针对此漏洞的潜在攻击的可能性。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21708 |
|||||
10、CVE-2023-24861 Windows 图形组件权限提升漏洞
|
漏洞名称 |
Windows 图形组件权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2023-24861 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows 图形组件存在权限提升漏洞,经过身份认证的攻击者可通过在目标系统上执行特制程序来利用此漏洞,成功利用此漏洞可提升至SYSTEM权限。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-24861 |
|||||
11、CVE-2023-23410 Windows HTTP.sys 权限提升漏洞
|
漏洞名称 |
Windows HTTP.sys 权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2023-23410 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows HTTP.sys 存在权限提升漏洞,经过身份认证的攻击者利用此漏洞可将权限提升至SYSTEM权限。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23410 |
|||||
12、CVE-2023-23398 Microsoft Excel 欺骗漏洞
|
漏洞名称 |
Microsoft Excel 欺骗漏洞 |
||||
|
漏洞类型 |
欺骗 |
风险等级 |
重要 |
漏洞ID |
CVE-2023-23398 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Microsoft Excel 存在欺骗漏洞,未经身份验证的攻击者可以诱导用户打开特制文件,然后单击安全警告提示“启用内容”。成功利用此漏洞的攻击者可以诱骗用户启用他们无法检查的内容。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23398 |
|||||
奇安信 CERT风险评级为:高危
也可以采用以下官方解决方案及缓解方案来防护此漏洞:
Windows自动更新
手动安装补丁
另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的3月补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Mar
奇安信天擎终端安全管理系统解决方案
奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户,可以将补丁库版本更新到:2023.03.15.1及以上版本,对内网终端进行补丁更新。
推荐采用自动化运维方案,如果控制中心可以连接互联网的用户场景,建议设置为自动从奇安信云端更新补丁库至2022.03.15.1版本。
控制中心补丁库更新方式:每天04:00-06:00自动升级,升级源为从互联网升级。
纯隔离网内控制中心不能访问互联网,不能下载补丁库和补丁文件,需使用离线升级工具定期导入补丁库和文件到控制中心。
2023年3月15日,奇安信 CERT发布安全风险通告。
原文始发于微信公众号(奇安信 CERT):微软2023年3月补丁日多产品安全漏洞风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论