微軟週二修補日：修補83項漏洞，包含9項重大漏洞

微軟本周釋出三月份Patch Tuesday安全更新，修補83項漏洞，其中Outlook及安全服務SmartScreen分別包含已遭到攻擊的漏洞。

本月的安全更新修補的漏洞遍及多項產品，包括Windows核心、Hyper-V、Visual Studio、Office及其他Windows元件。83項漏洞有9項重大漏洞，以漏洞類型而言，則以權限升級、遠端程式碼執行及資訊洩露、身份偽造為最大宗。

微軟特別警告有兩項零時差漏洞。第一是CVE-2023-23397，Outlook權限升級漏洞。攻擊者可傳送惡意郵件，使受害者連到外部由攻擊者控制SMB伺服器上使用通用命名規範(Universal Naming Convention, UNC)資料夾，這可讓攻擊取得受害者的Net-NLTM v2雜湊值，再將這些憑證資訊用以NLTM Relay攻擊，冒充受害者身份連到另一項服務。而且用戶無需開啟信件、或預覽信件就會受害，因為只要Outlook 用戶端接收及處理郵件就能自動觸發漏洞。CVE-2023-23397風險值達CVSS 3評等的 9.8。

微軟推測，攻擊這項漏洞的是知名俄羅斯國家駭客組織Strontium，已經有一些歐洲政府、軍事、能源及交通機關遭到攻擊。

微軟提供了CVE-2023-23397script 供用戶自我檢查是否有連到外部不明共享資料夾的郵件、行事曆或待辦事項，一旦發現將會予以移除或清除參數。若無，則用戶應該就沒有被駭。

第二項零時差漏洞則是Windows SmartScreen 安全功能規避漏洞CVE-2023-24880。SmartScreen安全功能是指，Windows會在用戶從網路下載檔案時為檔案加上Mark of the Web (MOTW)標籤，等用戶以Office開啟檔案時偵測到MOTW標籤而觸發SmartScreen，會先封鎖檔案，並以「受保護的檢視」開啟文件，等用戶按下確定開啟後才能使用。而CVE-2023-24880漏洞讓攻擊者傳送的檔案繞過SmartScreen保護，風險值為5.4。

發現該漏洞的Google研究人員指出駭客是以Magniber勒索軟體攻擊，和去年12月發現的零時差漏洞CVE-2022-44968有關。Magniber去年也曾利用後者攻擊使用者。

微軟會以Windows Update發送更新，在企業端則會以WSUS (Windows Server Update Service)推送更新，用戶也可以在Microsoft Update Catalog下載。其他科技業者包括Apple、Cisco、Google、Fortinet、SAP及Veeam也配合微軟Patch Tuesday釋出更新版軟體。

來源：Techspot