已复现Office RCE!微软11月补丁日重点漏洞解读
已复现Office RCE!微软11月补丁日重点漏洞解读
原创 微步情报局 微步在线研究响应中心 2023-11-15 15:15
1
概要和风险通告
11月微软补丁日共发布57个漏洞补丁,涉及到的产品有.NET、Windows Kernel、Office、Exchange Server等,修复的漏洞中有3个已被用于在野攻击。
2
重点关注
经研判,需要关注的漏洞共12个如下表所示:
|
编号 |
漏洞名称 |
风险等级 |
漏洞类型 |
利用可能 |
|
CVE-2023-36025 |
Windows SmartScreen 安全功能绕过漏洞 |
重要 |
安全功能绕过 |
已有在野利用 |
|
CVE-2023-36033 |
Windows DWM 核心库特权提升漏洞 |
重要 |
特权提升 |
已有在野利用 |
|
CVE-2023-36036 |
Windows Cloud Files Mini Filter Driver 特权提升漏洞 |
重要 |
特权提升 |
已有在野利用 |
|
CVE-2023-36017 |
Windows 脚本引擎内存损坏漏洞 |
重要 |
远程代码执行 |
极大可能被利用 |
|
CVE-2023-36039 |
Microsoft Exchange Server 欺骗漏洞 |
重要 |
欺骗 |
极大可能被利用 |
|
CVE-2023-36050 |
Microsoft Exchange Server 欺骗漏洞 |
重要 |
欺骗 |
极大可能被利用 |
|
CVE-2023-36399 |
Windows 存储特权提升漏洞 |
重要 |
特权提升 |
极大可能被利用 |
|
CVE-2023-36413 |
Microsoft Office 安全功能绕过漏洞 |
重要 |
安全功能绕过 |
极大可能被利用 |
|
CVE-2023-36424 |
Windows 通用日志文件系统驱动程序提升权限漏洞 |
重要 |
特权提升 |
极大可能被利用 |
|
CVE-2023-36439 |
Microsoft Exchange Server 远程执行代码漏洞 |
重要 |
远程代码执行 |
极大可能被利用 |
|
CVE-2023-38177 |
Microsoft SharePoint Server 远程执行代码漏洞 |
重要 |
远程代码执行 |
极大可能被利用 |
|
CVE-2023-36397 |
Windows Pragmatic General Multicast (PGM) 远程代码执行漏洞 |
严重 |
远程代码执行 |
不太可能被利用 |
其中
CVE-2023-36413值得重点关注,攻击者利用该漏洞可以绕过Office的保护模式,绕过保护模式后可与其他漏洞串联起来成为一条完整的
远程代码执行链,与CVE-2023-36884/CVE-2023-36584有相同的攻击效果。
另外,
该漏洞已经存在很长一段时间,最早使用该漏洞的样本可追溯到2017年。目前,已经发现有APT组织利用CVE-2023-36884/CVE-2023-36584相关漏洞链进行定点攻击,不排除CVE-2023-36413同样也已经被黑客组织使用。
相关链接:
In-Depth Analysis of July 2023 Exploit Chain Featuring CVE-2023-36884 and CVE-2023-36584(https://unit42.paloaltonetworks.com/new-cve-2023-36584-discovered-in-attack-chain-used-by-russian-apt/)
3
重点关注漏洞详细信息
需要关注的12个漏洞,影响的产品分别为Exchange Server、Office、Sharepoint Server和Windows组件和驱动,各产品的漏洞信息如下所示:
1、Microsoft Exchange Server
|
漏洞编号 |
CVE |
CVE-2023-36439 |
|
漏洞评估 |
微软危害评级 |
重要 |
|
漏洞类型 |
远程执行代码 |
|
|
公开程度 |
PoC未公开 |
|
|
利用条件 |
有权限要求 |
|
|
交互要求 |
0-click |
|
|
威胁类型 |
远程 |
|
|
利用情报 |
已捕获攻击行为 |
未发现 |
|
影响产品 |
产品名称 |
Microsoft Exchange Server |
|
影响范围 |
万级 |
|
|
有无修复补丁 |
有 |
|
|
参考链接 |
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36439 |
|
漏洞编号 |
CVE |
CVE-2023-36050/CVE-2023-36039/CVE-2023-36035 |
|
漏洞评估 |
微软危害评级 |
重要 |
|
漏洞类型 |
欺骗 |
|
|
公开程度 |
PoC未公开 |
|
|
利用条件 |
有权限要求 |
|
|
交互要求 |
0-click |
|
|
威胁类型 |
远程 |
|
|
利用情报 |
已捕获攻击行为 |
未发现 |
|
影响产品 |
产品名称 |
Microsoft Exchange Server |
|
影响范围 |
万级 |
|
|
有无修复补丁 |
有 |
|
|
参考链接 |
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36050 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36039 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36035 |
2、Microsoft Office
|
漏洞编号 |
CVE |
CVE-2023-36413 |
|
漏洞评估 |
微软危害评级 |
重要 |
|
漏洞类型 |
安全功能绕过 |
|
|
公开程度 |
PoC未公开 |
|
|
利用条件 |
无权限要求 |
|
|
交互要求 |
1-click |
|
|
威胁类型 |
远程 |
|
|
利用情报 |
已捕获攻击行为 |
未发现 |
|
影响产品 |
产品名称 |
Microsoft Office |
|
影响范围 |
万级 |
|
|
有无修复补丁 |
有 |
|
|
参考链接 |
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36413 |
3、Microsoft SharePoint Server
|
漏洞编号 |
CVE |
CVE-2023-38177 |
|
漏洞评估 |
微软危害评级 |
重要 |
|
漏洞类型 |
远程代码执行 |
|
|
公开程度 |
PoC未公开 |
|
|
利用条件 |
有权限要求 |
|
|
交互要求 |
0-click |
|
|
威胁类型 |
远程 |
|
|
利用情报 |
已捕获攻击行为 |
未发现 |
|
影响产品 |
产品名称 |
Microsoft SharePoint Server |
|
影响范围 |
万级 |
|
|
有无修复补丁 |
有 |
|
|
参考链接 |
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-38177 |
4、Windows组件和驱动
4.1、权限提升
|
漏洞编号 |
CVE |
CVE-2023-36033/CVE-2023-36036 |
|
漏洞评估 |
微软危害评级 |
重要 |
|
漏洞类型 |
权限提升 |
|
|
公开程度 |
PoC未公开 |
|
|
利用条件 |
有权限要求(低权限) |
|
|
交互要求 |
0-click |
|
|
威胁类型 |
远程 |
|
|
利用情报 |
已捕获攻击行为 |
已发现 |
|
影响产品 |
组件名称 |
Windows DWM Core Library/Windows Cloud Files Mini Filter Driver |
|
影响范围 |
万级 |
|
|
有无修复补丁 |
有 |
|
|
参考链接 |
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36033 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36036 |
|
漏洞编号 |
CVE |
CVE-2023-36394/CVE-2023-36399/CVE-2023-36424 |
|
漏洞评估 |
微软危害评级 |
重要 |
|
漏洞类型 |
权限提升 |
|
|
公开程度 |
PoC未公开 |
|
|
利用条件 |
有权限要求(低权限) |
|
|
交互要求 |
0-click |
|
|
威胁类型 |
远程 |
|
|
利用情报 |
已捕获攻击行为 |
未发现 |
|
影响产品 |
组件名称 |
Windows Search Service/Windows Storage/Windows Common Log File System Driver |
|
影响范围 |
万级 |
|
|
有无修复补丁 |
有 |
|
|
参考链接 |
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36394 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36399 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36424 |
4.2、安全功能绕过
|
漏洞编号 |
CVE |
CVE-2023-36025 |
|
漏洞评估 |
微软危害评级 |
重要 |
|
漏洞类型 |
安全功能绕过 |
|
|
公开程度 |
PoC未公开 |
|
|
利用条件 |
无权限要求 |
|
|
交互要求 |
1-click |
|
|
威胁类型 |
远程 |
|
|
利用情报 |
已捕获攻击行为 |
已发现 |
|
影响产品 |
组件名称 |
Windows SmartScreen |
|
影响范围 |
万级 |
|
|
有无修复补丁 |
有 |
|
|
参考链接 |
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36025 |
4.3、远程代码执行
|
漏洞编号 |
CVE |
CVE-2023-36397 |
|
漏洞评估 |
微软危害评级 |
严重 |
|
漏洞类型 |
远程代码执行 |
|
|
公开程度 |
PoC未公开 |
|
|
利用条件 |
无权限要求 |
|
|
交互要求 |
0-click |
|
|
威胁类型 |
远程 |
|
|
利用情报 |
已捕获攻击行为 |
未发现 |
|
影响产品 |
组件名称 |
PGM协议 |
|
影响范围 |
万级 |
|
|
有无修复补丁 |
有 |
|
|
参考链接 |
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36397 |
该漏洞Windows给了9.8的评分,无需权限和交互即可远程执行代码,但是成功利用该漏洞的前提是主机上需要开启Windows消息队列服务。如果满足了该条件,请尽快进行更新。
4
处置建议
4.1官方防护建议
请及时将相应的产品更新到最新版本。
4.2临时防护建议
加强办公终端网络安全防护,加强内外网的威胁监控尤其是失陷监控。可通过微步OneSEC 进行实时监控,及时发现失陷主机。
5
参考链接
- https://msrc.microsoft.com/update-guide
2.https://unit42.paloaltonetworks.com/new-cve-2023-36584-discovered-in-attack-chain-used-by-russian-apt/