吳明宜微軟本周釋出三月份 Patch Tuesday 安全更新,修補 83 項漏洞,其中 Outlook 及安全服務 SmartScreen 分別包含已遭到攻擊的漏洞。
本月的安全更新修補的漏洞遍及多項產品,包括 Windows 核心、 Hyper-V 、 Visual Studio 、 Office 及其他 Windows 元件。 83 項漏洞有 9 項重大漏洞,以漏洞類型而言,則以權限升級、遠端程式碼執行及資訊洩露、身份偽造為最大宗。
微軟特別警告有兩項零時差漏洞。第一是 CVE-2023-23397,Outlook 權限升級漏洞。攻擊者可傳送惡意郵件,使受害者連到外部由攻擊者控制 SMB 伺服器上使用通用命名規範 (Universal Naming Convention, UNC) 資料夾,這可讓攻擊取得受害者的 Net-NLTM v2 雜湊值,再將這些憑證資訊用以 NLTM Relay 攻擊,冒充受害者身份連到另一項服務。而且用戶無需開啟信件、或預覽信件就會受害,因為只要 Outlook 用戶端接收及處理郵件就能自動觸發漏洞。 CVE-2023-23397 風險值達 CVSS 3 評等的 9.8 。
微軟推測,攻擊這項漏洞的是知名俄羅斯國家駭客組織 Strontium,已經有一些歐洲政府、軍事、能源及交通機關遭到攻擊。
微軟提供了 CVE-2023-23397script 供用戶自我檢查是否有連到外部不明共享資料夾的郵件、行事曆或待辦事項,一旦發現將會予以移除或清除參數。若無,則用戶應該就沒有被駭。
第二項零時差漏洞則是 Windows SmartScreen 安全功能規避漏洞 CVE-2023-24880 。 SmartScreen 安全功能是指,Windows 會在用戶從網路下載檔案時為檔案加上 Mark of the Web (MOTW) 標籤,等用戶以 Office 開啟檔案時偵測到 MOTW 標籤而觸發 SmartScreen,會先封鎖檔案,並以「受保護的檢視」開啟文件,等用戶按下確定開啟後才能使用。而 CVE-2023-24880 漏洞讓攻擊者傳送的檔案繞過 SmartScreen 保護,風險值為 5.4 。
發現該漏洞的 Google 研究人員指出駭客是以 Magniber 勒索軟體攻擊,和去年 12 月發現的零時差漏洞 CVE-2022-44968 有關。 Magniber 去年也曾利用後者攻擊使用者。
微軟會以 Windows Update 發送更新,在企業端則會以 WSUS (Windows Server Update Service) 推送更新,用戶也可以在 Microsoft Update Catalog 下載。其他科技業者包括 Apple 、 Cisco 、 Google 、 Fortinet 、 SAP 及 Veeam 也配合微軟 Patch Tuesday 釋出更新版軟體。
來源:Techspot