漏洞背景
2023年11月15日,嘉诚安全监测到Microsoft官方发布了11月份的安全更新公告,共修复了个63漏洞,中危漏洞4个,高危漏洞55个,严重漏洞4个。修复了Windows Server 2022、Microsoft Office、.NET 8.0 等产品中的漏洞,其中3个已发现被在野利用,3个已经被公开披露。
鉴于漏洞危害较大,嘉诚安全提醒广大Microsoft用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
漏洞详情
经研判以下漏洞影响较大
1.CVE-2023-36033
Windows DWM Core Library权限提升漏洞,该漏洞目前已经公开披露,且已发现被在野利用。成功利用该漏洞的攻击者可以获得SYSTEM特权。
2.CVE-2023-36036
Windows Cloud Files Mini Filter Driver权限提升漏洞,该漏洞已发现被在野利用。成功利用该漏洞的攻击者可以获得SYSTEM特权。
3.CVE-2023-36025
Windows SmartScreen安全特性绕过漏洞,该漏洞已发现被在野利用。攻击者利用该漏洞能够绕过Windows Defender SmartScreen检查及其相关提示,用户必须点击特制的Internet快捷方式(.url)或点击指向Internet快捷方式文件的超链接才能被攻击。
4.CVE-2023-36043
Open Management Infrastructure信息泄露漏洞,成功利用该漏洞可能允许攻击者访问SCOM监视的计算机上跟踪日志中存储的特权帐户凭据。成功利用该漏洞需要攻击者使用经过身份验证的用户,并且对安装了SCOM和OMI的受监控计算机上的跟踪文件具有读取权限。
5.CVE-2023-36052
Azure CLI REST Command信息泄露漏洞,未经身份验证的攻击者可以搜索并发现存储在开源存储库中的日志文件中包含的凭据。成功利用该漏洞的攻击者可以从受影响的CLI命令创建并由Azure DevOps和/或GitHub Actions发布的日志文件中恢复纯文本的用户名和密码。
6.CVE-2023-36397
Windows Pragmatic General Multicast (PGM) 远程代码执行漏洞,在启用了Message Queue的多播监听环境中,攻击者可以通过网络实现远程代码执行并试图触发恶意代码。
7.CVE-2023-36400
Windows HMAC Key Derivation权限提升漏洞,攻击者可以从低权限的Hyper-V guest环境下实施攻击,成功攻击之后可以在Hyper-V主机执行环境中执行代码。要利用该漏洞,攻击者首先必须登录系统,然后运行特制的应用程序,利用该漏洞并控制受影响的系统。成功利用该漏洞的攻击者可以获得系统权限。
8.CVE-2023-36394
Windows Search服务权限提升漏洞,该漏洞的存在是由于Windows搜索服务中的竞争条件造成的。本地用户利用该漏洞赢得竞争条件后可以将权限提升至SYSTEM。
9.CVE-2023-36017
Windows脚本引擎内存损坏漏洞,该漏洞的存在是由于Windows脚本引擎中的边界错误。远程攻击者可以诱骗受害者访问特制的服务器共享或网站,触发内存损坏并在目标系统上执行任意代码。
10.CVE-2023-36399
Windows存储权限提升漏洞,该漏洞的存在是由于应用程序未正确对Windows存储施加安全限制,从而导致安全限制绕过和权限提升。具有低权限的本地攻击者利用该漏洞可以将权限提升至SYSTEM。
11.CVE-2023-36413
Microsoft Office安全功能绕过漏洞,该漏洞目前已被公开披露。攻击者向用户发送恶意文件并诱使他们将其打开,成功利用该漏洞将允许攻击者绕过Office受保护视图,并在编辑模式下打开文件,而不是在保护模式下。
12.CVE-2023-36038
ASP.NET Core拒绝服务漏洞,该漏洞目前已被公开披露,未经身份验证的远程攻击者如果取消对运行在IIS InProcess托管模型上的.net 8 RC 1的http请求,则可以利用该漏洞。线程计数会增加,并且可能出现OutOfMemoryException。
13.CVE-2023-36424
Windows通用日志文件系统驱动程序权限提升漏洞,该漏洞的存在是由于应用程序没有在Windows通用日志文件系统驱动程序中正确施加安全限制,从而导致安全限制绕过和权限提升。具有低权限的本地攻击者利用该漏洞可以将权限提升至SYSTEM。
14.CVE-2023-36035/CVE-2023-36039/CVE-2023-36050
Microsoft Exchange Server欺骗漏洞,通过LAN访问身份验证并拥有有效Exchange用户的凭据的攻击者利用CVE-2023-36035或CVE-2023-36039可以访问用户的Net-NTLMv2哈希值,该哈希值可用作针对另一个服务的NTLM中继攻击的基础,从而以用户身份进行身份验证。通过LAN访问身份验证并拥有有效Exchange用户的凭据的攻击者可以通过反序列化不受信任的数据,利用已知(类型 4)UnitySerializationHolder小工具来利用CVE-2023-36050。
15.CVE-2023-36439
Microsoft Exchange Server远程代码执行漏洞,经过身份验证的攻击者通过LAN访问利用该漏洞,可以获得服务器邮箱后端的远程代码执行权限(NT AUTHORITY\SYSTEM)。
16.CVE-2023-38177
Microsoft SharePoint Server远程代码执行漏洞,由于对用户的输入验证不恰当,在相邻网络上的攻击者利用该漏洞可以在目标系统上执行任意代码。
危害影响
受影响范围
受影响的产品/功能/服务/组件包括:
Microsoft Dynamics
Microsoft Edge (Chromium-based)
Windows Scripting
Visual Studio Code
Azure
Windows SmartScreen
Windows Protected EAP (PEAP)
Microsoft Dynamics 365 Sales
Windows DWM Core Library
Microsoft Exchange Server
Windows Cloud Files Mini Filter Driver
Microsoft Office Excel
ASP.NET
Visual Studio
Open Management Infrastructure
Microsoft Office
Windows Authentication Methods
.NET Framework
Windows DHCP Server
Tablet Windows User Interface
Microsoft Windows Search Component
Windows Deployment Services
Windows Compressed Folder
Windows Internet Connection Sharing (ICS)
Windows NTFS
Windows Storage
Windows HMAC Key Derivation
Microsoft Remote Registry Service
Microsoft WDAC OLE DB provider for SQL
Windows Kernel
Windows Hyper-V
Windows Defender
Windows Common Log File System Driver
Windows Distributed File System (DFS)
Azure DevOps
Windows Installer
Microsoft Windows Speech
Microsoft Office SharePoint
修复建议
目前微软已发布相关安全更新,鉴于漏洞的严重性,建议受影响的用户尽快修复。
一)Windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
1.点击“开始菜单”或按Windows快捷键,点击进入“设置”。
2.选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)。
3.选择“检查更新”,等待系统将自动检查并下载可用更新。
4.重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
二)手动安装补丁
另外,对于不能自动更新的系统版本,官方已发布升级补丁以修复漏洞,补丁获取链接:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Nov