【风险提示】天融信关于微软2023年12月安全更新的风险提示

0x00 背景介绍

2023年12月13日，天融信阿尔法实验室监测到微软官方发布了12月安全更新。此次更新官方发布了微软系列软件的安全补丁，共修复36个漏洞（不包含1个外部分配漏洞和本月早些时候发布的5个Edge漏洞），其中4个严重漏洞(Critical)、29个重要漏洞(Important)、1个中危漏洞(Moderate)、2个低危漏洞(Low)。权限提升漏洞11个、远程代码执行漏洞8个、信息泄露漏洞7个、拒绝服务漏洞5个、欺骗漏洞4个、XSS漏洞1个。

• 漏洞利用可能性较大的漏洞

• CVE-2023-35628：Windows MSHTML平台远程代码执行漏洞
  

• CVE-2023-35631、CVE-2023-36011：Windows Win32k本地权限提升漏洞
  

• CVE-2023-35632：WinSock的Windows辅助功能驱动本地权限提升漏洞
  

• CVE-2023-35633：Windows Kernel本地权限提升漏洞
  

• CVE-2023-35641：Internet连接共享(ICS)远程代码执行漏洞
  

• CVE-2023-35644：Windows Sysmain服务本地权限提升漏洞
  

• CVE-2023-36005：Windows Telephony Server权限提升漏洞
  

• CVE-2023-36010：Microsoft Defender拒绝服务漏洞
  

• CVE-2023-36391：本地安全认证子系统服务（LSASS）本地权限提升漏洞

• CVE-2023-36696：Windows Cloud Files微过滤器驱动本地权限提升漏洞

• 高评分漏洞

• CVE-2023-35618：Microsoft Edge(基于Chromium)权限提升漏洞
  

• CVE-2023-36019：Microsoft Power Platform连接器欺骗漏洞
  

• CVE-2023-35630：Internet连接共享(ICS)远程代码执行漏洞
  

未经身份认证的远程攻击者通过向运行Internet连接共享服务的服务器发送恶意制作的DHCP消息来利用此漏洞（需要修改DHCPV6_MESSAGE_INFORMATION_REQUEST输入消息中的option->length字段），成功利用此漏洞，可使攻击者获得在目标系统上远程执行代码的能力。

要想利用此漏洞，需要攻击者与目标系统处于同一个局域网中，无法跨越多个网络（如：WAN）执行攻击，并且仅限于同一网络交换机或虚拟网络上的目标系统。

• CVE-2023-35639：Microsoft ODBC驱动远程代码执行漏洞
  

• CVE-2023-36006：Microsoft SQL Server的WDAC OLE DB提供程序远程代码执行漏洞
  

• Windows自动更新

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

• 手动安装补丁
  

原文始发于微信公众号（天融信阿尔法实验室）：【风险提示】天融信关于微软2023年12月安全更新的风险提示