-赛博昆仑漏洞安全风险通告-

2023年12月微软补丁日安全风险通告

漏洞描述

近日，赛博昆仑CERT监测到微软发布了2023年12月安全更新，涉及以下应用：Windows Media，Microsoft Office Outlook，Microsoft Windows DNS，Azure Connected Machine Agent，Windows Internet Connection Sharing (ICS)，Windows DHCP Server等。

总共修复了36个漏洞，低危漏洞2个，中危漏洞1个，高危漏洞29个，严重漏洞4个。本月昆仑实验室研究员共协助微软修复了8个安全漏洞。

• CVE-2023-36006 Yuki Chen with Cyber KunLun

• CVE-2023-36005 k0shl with Kunlun Lab

• CVE-2023-35638 YanZiShuang@BigCJTeam of cyberkl

• CVE-2023-35639 Yuki Chen with Cyber KunLun

• CVE-2023-35641 k0shl and Wei in Kunlun Lab with Cyber KunLun

• CVE-2023-35644 k0shl with Kunlun Lab

• CVE-2023-35629 Wei in Kunlun Lab with Cyber KunLun

• CVE-2023-35630 k0shl with Kunlun Lab

• CVE-2023-35641 Internet Connection Sharing (ICS) 远程代码执行漏洞

Windows Internet Connection Sharing (ICS) 存在一个远程代码执行漏洞，要利用此漏洞，攻击者需要向运行Internet连接共享服务 (ICS) 的服务器发送恶意制作的DHCP消息。这种攻击仅限于与攻击者连接在同一网段的系统。攻击不能跨多个网络(例如，WAN)执行，并且将限于同一网络交换机或虚拟网络上的系统。

• CVE-2023-35630 Internet Connection Sharing (ICS) 远程代码执行漏洞

Windows Internet Connection Sharing (ICS) 存在一个远程代码执行漏洞，要利用此漏洞，攻击者需要修改DHCPv6 DHCPV6_MESSAGE_INFORMATION_REQUEST消息中的option->length字段。这种攻击仅限于与攻击者连接在同一网段的系统。攻击不能跨多个网络(例如，WAN)执行，并且将限于同一网络交换机或虚拟网络上的系统。

• CVE-2023-36019 Microsoft Power Platform Connector 欺骗漏洞

Microsoft Power Platform Connector中存在一个欺骗漏洞。此漏洞在web服务器中，但恶意脚本在受害者机器上的浏览器中执行，用户必须点击一个特制的URL才能被攻击者攻破，攻击者可以操纵恶意链接、应用程序或文件，将其伪装成合法链接或文件来欺骗受害者。

• CVE-2023-35628 Windows MSHTML Platform 远程代码执行漏洞

修复建议

目前，官方已发布安全补丁，建议受影响的用户尽快升级至安全版本。

December 2023 Security Updates

https://msrc.microsoft.com/update-guide/releaseNote/2023-Dec

    https://msrc.microsoft.com/update-guide/releaseNote/2023-Dec

    2023年12月13日，微软官方发布安全通告
    2023年12月13日，赛博昆仑CERT发布安全风险通告