微软2023年9月份补丁日重点漏洞安全预警
微软2023年9月份补丁日重点漏洞安全预警
原创 安全技术研究院 山石网科安全技术研究院 2023-09-15 11:43
补丁概述
2023年9月12日,微软官方发布了9月安全更新,针对59个Microsoft CVE和7个non-Microsoft CVE进行修复。Microsoft CVE中,包含5个严重漏洞(Critical)、53个重要漏洞(Important)和1个中危漏洞(Moderate)。从漏洞影响上看,有22个远程代码执行漏洞、17个权限提升漏洞、9个信息泄露漏洞、5个欺骗漏洞、3个拒绝服务漏洞、3个安全功能绕过漏洞。
59个漏洞中,目前已有CVE-2023-36761、CVE-2023-36802两个漏洞发现在野利用,CVE-2023-36761发现在补丁可用前已被公开披露,有12个利用可能性较大的漏洞。
本次安全更新涉及多个Windows主流版本,包括Windows 10、Windows 11、Windows Server 2022等;涉及多款Microsoft系列主流软件,如Microsoft Visual Studio、Microsoft .NET Framework、Microsoft Office、Microsoft Exchange Server、Windows Defender、Windows DHCP Server、Windows Kernel等。
重点关注漏洞
在野利用和公开披露漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2023-36761 |
6.2 |
Microsoft Office Word |
|
CVE-2023-36802 |
7.8 |
Microsoft流服务 |
– CVE-2023-36761:Microsoft Word信息泄露漏洞,已被在野利用,在补丁可用前已被公开披露。预览窗格是该漏洞的攻击媒介,仅预览特制文件就可能导致漏洞触发,成功利用此漏洞将导致New Technology LAN Manager(NTLM)的哈希值泄露。作为用户凭据的数字密钥,泄漏的NTLM哈希值会带来重大风险,攻击者可用于冒充用户访问敏感信息或进行哈希传递攻击。
- CVE-2023-36802:Microsoft流服务代理权限提升漏洞,已被在野利用。成功利用此漏洞的攻击者可以获得系统级权限。
利用可能性较大的漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2023-38148 |
8.8 |
Windows Internet连接共享(ICS) |
|
CVE-2023-36744 |
8.0 |
Microsoft Exchange Server |
|
CVE-2023-36756 |
8.0 |
Microsoft Exchange Server |
|
CVE-2023-36745 |
8.0 |
Microsoft Exchange Server |
|
CVE-2023-36804 |
7.8 |
Windows GDI |
|
CVE-2023-38161 |
7.8 |
Windows GDI |
|
|
7.8 |
Windows内核 |
|
CVE-2023-38143 |
7.8 |
Windows通用日志文件系统驱动程序 |
|
CVE-2023-38144 |
7.8 |
Windows通用日志文件系统驱动程序 |
|
CVE-2023-36777 |
5.7 |
Microsoft Exchange Server |
|
CVE-2023-38160 |
5.5 |
Windows TCP/IP |
|
CVE-2023-38152 |
5.3 |
Windows DHCP Server |
-
CVE-2023-38148:Internet连接共享(ICS)远程代码执行漏洞。未经授权的攻击者可以通过向ICS服务发送特制网络数据包来利用此ICS漏洞。这种攻击仅限于与攻击者连接到同一网段的系统,攻击无法跨多个网络(例如WAN)执行,并且仅限于同一网络交换机或虚拟网络上的系统。
-
CVE-2023-36744、CVE-2023-36756:Microsoft Exchange Server远程代码执行漏洞。在基于网络的攻击中,攻击者可以通过网络调用在服务器帐户的上下文中触发恶意代码。成功利用此漏洞的攻击者可以执行远程攻击,从而能够访问受害者的信息并能够更改信息;成功利用该漏洞还可能导致目标环境停机。攻击者必须通过LAN访问身份验证并拥有有效Exchange用户的凭据才可进行攻击。
-
CVE-2023-36745:Microsoft Exchange Server远程代码执行漏洞。攻击者可以通过反序列化不受信任的数据,利用已知(Type 4)UnitySerializationHolder小工具来利用此漏洞,利用此漏洞需要用户获得LAN访问权限并获取有效Exchange用户的凭据。成功利用此漏洞的攻击者可以执行远程攻击,从而能够访问受害者的信息并能够更改信息;成功利用该漏洞还可能导致目标环境停机。
-
CVE-2023-36804、CVE-2023-38161:Windows GDI特权提升漏洞。成功利用此漏洞的攻击者可以获得系统级权限。
-
CVE-2023-38142
:Windows内核特权提升漏洞。使用特殊格式构造的调用发送RPC请求到本地任意高权限的服务,随后攻击者可以利用该漏洞在高权限进程内实现任意地址读写,最终获得SYSTEM用户的代码执行权限。 -
CVE-2023-38143、CVE-2023-38144:Windows通用日志文件系统驱动程序特权提升漏洞。成功利用此漏洞的攻击者可以获得系统权限。任何经过身份验证的攻击者都可能触发此漏洞,它不需要管理员或其他提升的权限。
-
CVE-2023-36777:Microsoft Exchange Server信息泄露漏洞。攻击者必须通过LAN访问身份验证并拥有有效Exchange用户的凭据才可能攻击。如果攻击者成功利用此漏洞,可能会泄露文件内容。
-
CVE-2023-38160:Windows TCP/IP信息泄露漏洞。成功利用此漏洞的攻击者可能会读取一小部分堆内存。成功利用该漏洞的攻击者可以查看敏感信息(机密性),而攻击者无法对公开的信息(完整性)进行更改并限制对资源的访问(可用性)。
-
CVE-2023-38152:DHCP Server服务信息泄露漏洞。利用此漏洞可能会导致进程堆中已初始化或未初始化的内存泄露。成功利用此漏洞的攻击者可以查看一些敏感信息(机密性),但并非受影响组件中的所有资源都会泄露给攻击者,而攻击者无法更改公开的信息(完整性)或限制对资源的访问(可用性)。
CVSS 3.1 Base Score高评分漏洞
除利用可能性较大的漏洞外,CVSS 3.1 Base Score高评分漏洞同样需要关注。
|
CVE |
CVSS |
Tag |
|
CVE-2023-33136 |
8.8 |
Azure DevOps |
|
CVE-2023-36764 |
8.8 |
Microsoft Office SharePoint |
|
CVE-2023-38146 |
8.8 |
Windows主题 |
|
CVE-2023-38147 |
8.8 |
Microsoft Windows Codecs Library |
|
CVE-2023-36757 |
8.0 |
Microsoft Exchange Server |
– CVE-2023-33136:Azure DevOps服务器远程代码执行漏洞。成功利用此漏洞需要攻击者拥有对具有可覆盖变量的Azure DevOps管道的队列构建权限。拥有这些权限的攻击者可以通过运行时参数执行恶意输入注入来执行远程代码执行(RCE),该运行时参数可用于代替可重写变量。
-
CVE-2023-36764:Microsoft SharePoint Server权限提升漏洞。攻击者可以通过使用特制的声明性标记创建ASP.NET页面来利用此漏洞。攻击者必须至少作为站点成员通过目标站点的身份验证。成功利用此漏洞的攻击者可以获得管理员权限;成功利用此漏洞的攻击者还可以执行远程攻击,从而能够访问受害者的信息并能够更改信息;成功利用该漏洞还可能导致目标环境停机。
-
CVE-2023-38146:Windows主题远程代码执行漏洞。攻击者需要说服目标用户在易受攻击的系统上加载Windows主题文件,并有权访问攻击者控制的SMB共享。
-
CVE-2023-38147:Windows Miracast无线显示远程代码执行漏洞。利用此漏洞需要攻击者位于目标系统附近才能发送和接收无线电传输。未经身份验证的攻击者可以投射到同一无线网络上的易受攻击的系统,该无线网络配置为允许“Projecting to this PC”并标记为“Available Everywhere”(非默认配置)
-
CVE-2023-36757:Microsoft Exchange Server欺骗漏洞。成功利用此漏洞的攻击者可以访问用户的 Net-NTLMv2 哈希,该哈希可用作针对其他服务的 NTLM 中继攻击的基础,以验证用户身份。攻击者必须通过 LAN 访问身份验证并拥有有效 Exchange 用户的凭据。
严重漏洞(Critical)
除上述漏洞外,被标记为Critical的严重漏洞如下。
|
CVE |
CVSS |
Tag |
|
CVE-2023-36796 |
7.8 |
.NET and Visual Studio |
|
CVE-2023-36792 |
7.8 |
.NET and Visual Studio |
|
CVE-2023-36793 |
7.8 |
.NET and Visual Studio |
|
CVE-2023-29332 |
7.5 |
Microsoft Azure Kubernetes Service |
-
CVE-2023-36796、CVE-2023-36792、CVE-2023-36793:Visual Studio远程代码执行漏洞。要利用此漏洞,攻击者需要说服用户在Visual Studio中打开恶意制作的包文件。
-
CVE-2023-29332:Microsoft Azure Kubernetes Service权限提升漏洞。攻击者不需要对集群/系统有大量的先验知识,并且在尝试利用此漏洞时可以获得可重复的成功。此漏洞可远程利用,并且可以从互联网上利用。成功利用此漏洞的攻击者可以获得集群管理员权限。
处置建议
根据微软官方指引,尽快下载安装补丁包进行修复,也可开启Windows自动更新保证补丁包的自动安装。
Microsoft9月安全更新指引:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Sep