微软2023年10月补丁日重点漏洞安全预警
微软2023年10月补丁日重点漏洞安全预警
原创 安全技术研究院 山石网科安全技术研究院 2023-10-13 15:58
补丁概述
2023年10月10日,微软官方发布了10月安全更新,针对103个 Microsoft CVE 和2个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含12个严重漏洞(Critical)和91个重要漏洞(Important)。从漏洞影响上看,有45个远程代码执行漏洞、26个权限提升漏洞
、16
个拒绝服务漏洞、12个信息泄露漏洞、3个安全功能绕过漏洞和
1
个欺骗漏洞。
103个漏洞中,目前已有
CVE-2023-41763、
CVE-2023-36563两个漏洞发现在野利用并在补丁可用前已被公开披露,有10个利用可能性较大的漏洞。另外
non-Microsoft CVE 中
CVE-2023-44487也被发现在野利用,需要注意。
本次安全更新涉及多个Windows主流版本,包括Windows 10、Windows 11、Windows Server 2022等;涉及多款主流产品和组件,如
Microsoft Office、Windows消息队列、Windows L2TP、
Windows Win32K等。
重点关注漏洞
在野利用和公开披露漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2023-41763 |
5.3 |
Skype for Business |
|
CVE-2023-36563 |
6.5 |
Microsoft WordPad |
|
CVE-2023-44487 |
7.5 |
HTTP/2 |
-
CVE-2023-41763:
Skype for Business 权限提升漏洞,已被在野利用和公开披露。
攻击者可以对目标
Skype for Business 服务器进行特制网络调用,这可能会导致解析向任意地址发出的http请求,进而会向攻击者泄露IP地址和端口号。 -
CVE-2023-36563:Microsoft WordPad 信息泄露漏洞,已被在野利用
和公开披露。
攻击者可以通过在登录系统后运行特制的恶意应用程序,或诱使本地用户打开该特制的
恶意应用程序,从而导致NTLM哈希值泄漏。 -
CVE-2023-44487:
HTTP/2 快速重置攻击,已被在野利用。
此攻击滥用 HTTP/2 的流取消功能来连续发送和取消请求,压垮目标服务器/应用程序并施加 DoS 状态。由于该功能内置于 HTTP/2 标准中,因此除了速率限制或阻止协议之外,没有可以实现的技术“修复”。微软在通报中采取的缓解措施是禁用 Web 服务器上的 HTTP/2 协议。
利用可能性较大的漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2023-36778 |
8.0 |
Microsoft Exchange Server |
|
CVE-2023-36594 |
7.8 |
Microsoft 图形组件 |
|
CVE-2023-36731 |
7.8 |
Windows Win32K |
|
CVE-2023-36732 |
7.8 |
Windows Win32K |
|
CVE-2023-36743 |
7.8 |
Windows Win32K |
|
CVE-2023-41772 |
7.8 |
Windows Win32K |
|
CVE-2023-36780 |
7.2 |
Skype for Business |
|
CVE-2023-36776 |
7.0 |
Windows Win32K |
|
CVE-2023-38159 |
7.0 |
Microsoft 图形组件 |
|
CVE-2023-36713 |
5.5 |
Windows 通用日志文件系统驱动程序 |
– CVE-2023-36778:
Microsoft Exchange Server 远程代码执行漏洞,
该漏洞是由于 cmdlet 参数验证不当造成的。与 Exchange 服务器位于同一局域网上的经过身份验证的攻击者可以通过 PowerShell 远程处理会话实现远程代码执行。
-
CVE-2023-36594:
Windows 图形组件特权提升漏洞,
成功利用此漏洞的攻击者可以获得系统级权限。 -
CVE-2023-36731、
CVE-2023-36732、
CVE-2023-36743、
CVE-2023-41772:
Win32k 特权提升漏洞,
成功利用此漏洞的攻击者可以获得系统级权限。 -
CVE-2023-36780:
Skype for Business 远程代码执行漏洞。
要利用此漏洞,攻击者需要访问拥有 CsHelpDesk 管理权限的经过身份验证的用户帐户,并在共享目录中托管恶意 C++/CLI 程序集。攻击者还需要创建远程 PowerShell 会话,以便在服务器上下文中运行不安全的 Get-Help cmdlet。此漏洞允许攻击者在 Skype for Business 服务器后端
远程执行代码。 -
CVE-2023-36776:
Win32k 特权提升漏洞。
成功利用此漏洞需要攻击者赢得条件竞争,经过身份验证的本地攻击者可以通过 Win32k.sys 驱动程序中的漏洞获得提升的本地系统或管理员权限。 -
CVE-2023-38159:
Windows 图形组件特权提升漏洞。
成功利用此漏洞需要攻击者赢得
条件竞争,进而获得系统级权限。 -
CVE-2023-36713:
Windows 通用日志文件系统驱动程序信息泄露漏洞,
成功利用此漏洞的攻击者可能会读取一小部分堆内存。
CVSS 3.1 Base Score高评分漏洞
|
CVE |
CVSS |
Tag |
|
CVE-2023-35349 |
9.8 |
Windows 消息队列 |
|
CVE-2023-36434 |
9.8 |
Windows IIS |
|
CVE-2023-36414 |
8.8 |
Azure SDK |
|
CVE-2023-36415 |
8.8 |
Azure SDK |
|
CVE-2023-36419 |
8.8 |
Azure |
|
CVE-2023-36577 |
8.8 |
Microsoft WDAC OLE DB provider for SQL |
-
CVE-2023-35349:
Microsoft
消息队列远程代码执行漏洞,
成功利用此漏洞可能允许未经身份验证的攻击者在目标服务器上远程执行代码。 -
CVE-2023-36434:
Windows IIS 服务器权限提升漏洞,成功利用此漏洞的
攻击者将能够以其他用户身份成功登录。在基于网络的攻击中,攻击者可以暴力破解用户帐户密码并以该用户身份登录。 -
CVE-2023-36414、
CVE-2023-36415:
Azure Identity SDK 远程代码执行漏洞。
攻击者可以利用整数溢出漏洞,导致任意堆写入,从而执行任意代码。
此漏洞的攻击者可以以远程代码执行的方式定位服务器帐户。作为经过身份验证的用户,攻击者还可以尝试通过网络调用在服务器帐户的上下文中触发恶意代码。 -
CVE-2023-36419:
Azure HDInsight Apache Oozie 工作流调度程序特权提升漏洞,
成功利用此漏洞的攻击者可以获得集群管理员权限。 -
CVE-2023-36577:
Microsoft WDAC OLE DB provider for SQL Server 远程代码执行漏洞。攻击者
必须诱骗或说服连接到网络的经过身份验证的受害者使用其 SQL 客户端应用程序连接到恶意 SQL 数据库。建立连接后,服务器可以向客户端发送特制的回复,从而利用该漏洞并允许在用户的 SQL 客户端应用程序上下文中执行任意代码。
严重漏洞(Critical)
除上述漏洞外,被标记为Critical的严重漏洞如下。
|
CVE |
CVSS |
Tag |
|
CVE-2023-38166 |
8.1 |
Windows Layer 2 Tunneling Protocol |
|
CVE-2023-41765 |
8.1 |
Windows Layer 2 Tunneling Protocol |
|
CVE-2023-41767 |
8.1 |
Windows Layer 2 Tunneling Protocol |
|
CVE-2023-41768 |
8.1 |
Windows Layer 2 Tunneling Protocol |
|
CVE-2023-41769 |
8.1 |
Windows Layer 2 Tunneling Protocol |
|
CVE-2023-41770 |
8.1 |
Windows Layer 2 Tunneling Protocol |
|
CVE-2023-41771 |
8.1 |
Windows Layer 2 Tunneling Protocol |
|
CVE-2023-41773 |
8.1 |
Windows Layer 2 Tunneling Protocol |
|
CVE-2023-41774 |
8.1 |
Windows Layer 2 Tunneling Protocol |
|
CVE-2023-36718 |
7.8 |
Windows 虚拟可信平台模块 |
|
CVE-2023-36697 |
6.8 |
Windows 消息队列 |
- CVE-2023-38166、
CVE-2023-41765
、
CVE-2023-41767
、
CVE-2023-41768
、
CVE-2023-41769
、
CVE-2023-41770
、
CVE-2023-41771
、
CVE-2023-41773
、
CVE-2023-41774:Windows L2TP
远程代码执行漏洞。
未经身份验证的攻击者可以向路由和远程访问服务(RRAS)服务器发送特制的协议消息,这可能会导致 RAS 服务器机器上的远程代码执行。
成功利用此漏洞需要攻击者赢得条件
竞争。
-
CVE-2023-36718:
Microsoft
虚拟可信平台模块远程代码执行漏洞。成功利用此漏洞依赖于复杂的内存塑形技术,并且攻击者必须拥有目标环境的权限。
攻击者使用虚拟机中的Guest用户可逃离隔离的计算机并访问该受保护设备外部的资源。 -
CVE-2023-36697:
Microsoft
消息队列远程代码执行漏洞。
攻击者需要说服目标计算机上的用户连接到恶意服务器或破坏合法的 MSMQ 服务器主机,并使其作为恶意服务器运行,
成功利用此漏洞可能允许经过身份验证的域用户在目标服务器上远程执行代码。
处置建议
根据微软官方指引,尽快下载安装补丁包进行修复,也可开启Windows自动更新保证补丁包的自动安装。
Microsoft 10月安全更新指引:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Oct