微软 2023 年 3 月的补丁星期二更新正在推出,修复了一组80 个安全漏洞,其中两个已在野外被积极利用。这次微软发布漏洞日期,正好是Pi Day!
80 个错误中有 8 个被评为严重,71 个被评为重要,1 个严重程度被评为中等。除了最近几周这家科技巨头在其基于 Chromium 的 Edge 浏览器中修复的29 个缺陷之外,还进行了这些更新。 受到主动攻击的两个漏洞包括 Microsoft Outlook 权限提升漏洞(CVE-2023-23397,CVSS 评分:9.8)和 Windows SmartScreen 安全功能绕过漏洞(CVE-2023-24880,CVSS 评分:5.1)。 CVE-2023-23397 是“当攻击者发送带有扩展 MAPI 属性的消息时触发的,该消息带有 UNC 路径到威胁参与者控制的服务器上的 SMB (TCP 445) 共享,”微软在独立公告中表示。 威胁行为者可以通过发送特制电子邮件来利用此漏洞,并在 Windows 的 Outlook 客户端检索和处理时自动激活它。因此,这可能会导致在不需要任何用户交互的情况下甚至在预览窗格中查看消息之前就进行利用。
微软将漏洞报告归功于乌克兰计算机应急响应小组 (CERT-UA),并补充说它知道俄罗斯的威胁行为者对欧洲的政府、交通、能源和军事部门发起了“有限的有针对性的攻击”。 另一方面,CVE-2023-24880 涉及一个安全绕过漏洞,当打开从 Internet 下载的不受信任的文件时,可以利用该漏洞来逃避 Mark-of-the-Web (MotW) 保护。 这也是 Microsoft 为解决另一个 SmartScreen 绕过漏洞( CVE-2022-44698 ,CVSS 评分:5.4)而发布的窄补丁的结果,该漏洞于去年曝光,并被出于经济动机的攻击者利用来传播 Magniber 勒索软件。 谷歌威胁分析小组 (TAG) 研究员 Benoit Sevens在一份报告中说:“供应商经常发布狭窄的补丁,为攻击者提供迭代和发现新变体的机会。” “由于 SmartScreen 安全绕过背后的根本原因没有得到解决,攻击者能够快速识别出原始漏洞的不同变体。” TAG 表示,自 2023 年 1 月以来,它观察到超过 100,000 次使用格式错误的 Authenticode 签名签名的恶意 MSI 文件的下载,从而允许对手在不发出任何安全警告的情况下分发 Magniber 勒索软件。这些下载中的大部分与欧洲用户有关。 美国网络安全和基础设施安全局 (CISA) 将这两个漏洞添加到已知被利用漏洞 ( KEV ) 目录中,并宣布了一项新的试点计划,旨在警告关键基础设施实体注意“通常与已知勒索软件利用相关的漏洞”。“ 微软还关闭了一些影响 HTTP 协议栈(CVE-2023-23392,CVSS 评分:9.8)、互联网控制消息协议(CVE-2023-23415,CVSS 评分:9.8)和远程远程代码执行的严重漏洞过程调用运行时(CVE-2023-21708,CVSS 评分:9.8)。 其他值得注意的内容包括针对 Windows 内核中发现的四个权限升级漏洞的补丁、影响 Microsoft PostScript 和 PCL6 类打印机驱动程序的 10 个远程代码执行漏洞,以及Edge 浏览器中的WebView2欺骗漏洞。 您是否了解与第三方应用程序访问您公司的 SaaS 应用程序相关的风险?加入我们的网络研讨会,了解授予的权限类型以及如何将风险降至最低。 微软还修复了 OneDrive for Android 中的两个信息泄露漏洞(CVE-2023-24882和CVE-2023-24923,CVSS 评分:5.5),Office for Android 中的一个欺骗漏洞(CVE-2023-23391,CVSS 评分:5.5), OneDrive for iOS 中的一个安全绕过漏洞(CVE-2023-24890,CVSS 分数:4.3),以及 OneDrive for macOS 中的一个权限升级问题(CVE-2023-24930,CVSS 分数:7.8)。 最后是针对可信平台模块 ( TPM ) 2.0 参考库规范(CVE-2023-1017和CVE-2023-1018 ,CVSS 评分:8.8)中两个高危漏洞的补丁,这些漏洞可能导致信息泄露或特权升级。 下一个补丁星期二将在 4 月 11 日。 >>>等级保护<<<
|
|