微软在 5 月份大量安全更新中披露了 XNUMX 个零日漏洞

微软的 XNUMX 月安全更新 包含针对多达 130 个独特漏洞的修复，其中 XNUMX 个攻击者已经在野外积极利用。

该公司将其中 121 个缺陷评为“严重”，将其中 XNUMX 个缺陷评为“中等”或“严重”。 这些漏洞影响广泛的 Microsoft 产品，包括 Windows、Office、.Net、Azure Active Directory、打印机驱动程序、DMS 服务器和远程桌面。 该更新包含常见的远程代码执行 (RCE) 缺陷、安全绕过和权限升级问题、信息泄露错误和拒绝服务漏洞。

“这一修复量是过去几年来我们见过的最高的，尽管“趋势科技零日计划 (ZDI) 安全研究员达斯汀·柴尔兹 (Dustin Childs) 在博客文章中表示，微软在 Black Hat USA 会议之前发布大量补丁并不罕见。

安全研究人员表示，从补丁优先级的角度来看，微软本周披露的五个零日漏洞值得立即关注。

其中最严重的是 CVE-2023-36884，Office 和 Windows HTML 中的远程代码执行 (RCE) 错误，微软在本月的更新中没有针对该错误提供补丁。 该公司发现了一个正在跟踪的威胁组织 Storm-0978，该组织在针对北美和欧洲的政府和国防组织的网络钓鱼活动中利用了该漏洞。

该活动涉及威胁行为者通过 Windows 文档分发名为 RomCom 的后门，主题与乌克兰世界大会相关。 “风暴-0978“其有针对性的行动主要影响了乌克兰的政府和军​​事组织，以及可能参与乌克兰事务的欧洲和北美组织。” 微软在博客中表示 XNUMX 月份安全更新附带的帖子。 “已发现的勒索软件攻击已经影响了电信和金融行业等。”

ZDI 的另一位研究员达斯汀·柴尔兹 (Dustin Childs) 警告组织将 CVE-2023-36884 视为“关键”安全问题，尽管微软本身已将其评估为相对不太严重的“重要”错误。 “微软采取了奇怪的行动来发布此 CVE 也完全不需要 一个补丁。 那“还没有到来，”查尔兹在博客文章中写道。 “显然，有“这种利用比所说的要多得多。”

正在积极利用的五个漏洞中有两个是安全绕过漏洞。 其中之一会影响 Microsoft Outlook（CVE-2023-35311）另一个涉及 Windows SmartScreen（CVE-2023-32049）。 这两个漏洞都需要用户交互，这意味着攻击者只能通过说服用户单击恶意 URL 来利用它们。 使用 CVE-2023-32049，攻击者将能够绕过“打开文件 - 安全警告”提示，而 CVE-2023-35311 则为攻击者提供了一种通过 Microsoft Outlook 安全通知提示进行攻击的方法。

Action2023 漏洞和威胁研究副总裁 Mike Walters 表示：“值得注意的是，[CVE-35311-1] 特别允许绕过 Microsoft Outlook 安全功能，并且不会启用远程代码执行或权限升级。” “因此，攻击者很可能将其与其他漏洞结合起来进行全面攻击。 该漏洞影响自 2013 年起所有版本的 Microsoft Outlook。”他在给 Dark Reading 的电子邮件中指出。

Immersive Labs 网络威胁研究总监 Kev Breen 评估了其他安全绕过零日漏洞 - CVE-2023-32049 - 作为威胁行为者最有可能将其用作更广泛攻击链的一部分的另一个错误。

微软最新补丁中的另外两个零日漏洞都可以实现权限升级。 谷歌威胁分析小组的研究人员发现了其中之一。 该缺陷被追踪为 CVE-2023-36874是 Windows 错误报告 (WER) 服务中的一个特权提升问题，它为攻击者提供了获取易受攻击系统的管理权限的方法。 攻击者需要对受影响的系统进行本地访问才能利用该缺陷，他们可以通过其他漏洞利用或通过凭证滥用来获得该漏洞。

Automox 安全研究员 Tom Bowyer 表示：“WER 服务是 Microsoft Windows 操作系统中的一项功能，当某些软件崩溃或遇到其他类型的错误时，它会自动收集错误报告并向 Microsoft 发送。” “这个零日漏洞正在被积极利用，因此如果您的组织使用 WER，我们建议在 24 小时内修补，”他说。

攻击者已经积极利用的 XNUMX 月安全更新中的另一个特权提升漏洞是 CVE-2023-32046 在微软的Windows MSHTM平台上，又名“Trident”浏览器渲染引擎。 与许多其他错误一样，这个错误也需要一定程度的用户交互。 在电子邮件攻击场景中，要利用该错误，攻击者需要向目标用户发送特制文件并让用户打开它。 微软表示，在基于网络的攻击中，攻击者需要托管恶意网站（或使用受感染的网站）来托管特制文件，然后说服受害者打开该文件。

Windows 路由、远程访问服务中的 RCE

安全研究人员指出 Windows 路由和远程访问服务 (RRAS) 中的三个 RCE 漏洞（CVE-2023-35365, CVE-2023-35366及 CVE-2023-35367）同样值得优先关注。 Microsoft 已将所有三个漏洞评估为严重漏洞，所有三个漏洞的 CVSS 评分均为 9.8。 Automox 的 Bowyer 表示，默认情况下，该服务在 Windows Server 上不可用，它基本上使运行该操作系统的计算机能够充当路由器、VPN 服务器和拨号服务器。 “成功的攻击者可以修改网络配置、窃取数据、转移到其他更关键/重要的系统，或者创建额外的帐户来持久访问设备。“

SharePoint 服务器缺陷

Microsoft XNUMX 月份的大型更新包含对 SharePoint 服务器中四个 RCE 漏洞的修复，该服务器最近已成为流行的攻击目标。 微软将其中两个错误评为“重要”（CVE-2023-33134 和 CVE-2023-33159） 另外两个为“关键”（CVE-2023-33157 和 CVE-2023-33160）。 Silverfort 高级研究员 Yoav Iellin 表示：“所有这些都要求攻击者经过身份验证或用户执行某项操作，幸运的是，这可以降低违规风险。” “即便如此，由于 SharePoint 可能包含敏感数据并且通常会从组织外部公开，因此使用本地或混合版本的用户应该进行更新。”

必须遵守 FEDRAMP、PCI、HIPAA、SOC2 和类似法规等法规的组织应注意 CVE-2023-35332： Cyolo 研究主管 Dor Dali 表示，这是一个 Windows 远程桌面协议安全功能绕过缺陷。 他说，该漏洞与使用过时和已弃用的协议有关，包括数据报传输层安全性 (DTLS) 1.0 版，这给组织带来了巨大的安全和合规风险。 他说，在组织无法立即更新的情况下，他们应该禁用 RDP 网关中的 UDP 支持。

另外，微软 发表了咨询 关于对最近有关威胁行为者使用 Microsoft 认证驱动程序的报告进行的调查“漏洞利用后活动中的 Windows 硬件开发人员计划 (MWHDP)。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 汽车/电动汽车， 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 块偏移量。 现代化环境抵消所有权。 访问这里。
• Sumber: https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update