2023 年微軟第一個 Patch Tuesday 修補 98 個漏洞，包括 1 個零時差漏洞

微軟周二釋出今年第一個 Patch Tuesday，修補 98 項漏洞，包括一個已有濫用情形的漏洞。

98 項漏洞橫跨微軟各項產品，包括 Windows 及 Windows 元件、Office and Office Components、.NET Core 與 Visual Studio Code、3D Builder、 Azure Service Fabric Container、 Windows BitLocker、 Windows Defender、Windows Print Spooler Components 和 Microsoft Exchange Server。其中 11 項為重大，87 項為重要。這也是歷年一月份 Patch Tuesday 修補規模最大的，或許也暗示今年接下來都不會太少。

98 項漏洞中，一項已遭到濫用，一項則是已公開。

CVE-2023-21674 為 Windows Advanced Local Procedure Call (ALPC) 的權限擴張漏洞，目前已遭到攻擊。這項漏洞可讓本地攻擊者從 Chromium 沙箱執行擴大權限到核心層級執行及全 System 權限。這類漏洞通常伴隨某種程式碼執行，進而安裝惡意程式或勒索軟體。由於本漏洞是由安全廠商 Avast 研究人員通報微軟，恐怕真的已經發生。

CVE-2023-21743 為微軟 SharePoint Server 的安全功能繞過漏洞。安全功能繞過 (Security Feature Bypass, SFB) 很少被列為重大，但這個卻非誇大。本漏洞可能讓遠端非經授權的攻擊者匿名連上 SharePoint Server。管理員要完全防範，安裝更新軟體之外，還必須觸發也包含在本月 Patch Tuesday 中的 SharePoint 更新。

CVE-2023-21763/CVE-2023-21764，為 Exchange Server 權限擴張漏洞。這 2 個漏洞是由 ZDI 研究人員 Piotr Bazydło 發現，是微軟修補 CVE-2022-41123 失敗所致。本地攻擊者可利用硬體編碼的路徑，載入惡意 DLL 而以 System 權限執行程式碼。最近另一名研究人員估計，全球尚有 6 萬台未安裝 Exchange Server 的 ProxyNotShell (CVE-2022-41082 及 CVE-2022-41040 ) 漏洞。如果貴公司是本地部署 Exchange Server，請務必儘速測試與部署所有 Exchange Server 更新。希望這次微軟更新一次就成功（ProxyNotShell 就是補了好幾次沒成功，導致夜長夢多）。

來源：ZDI