微软
微软于今年11月的Patch Tuesday总计修补了逾60个安全漏洞,包含5个零时差漏洞,其中又有3个已遭骇客利用。
本月的零时差漏洞都只被列为重要(Important)漏洞,当中已遭骇客利用的是涉及Windows DWM Core Library的CVE-2023-36033、与Windows Cloud Files Mini Filter Driver有关的CVE-2023-36036,以及可绕过Windows SmartScreen安全功能的CVE-2023-36025。
DWM的全名为Desktop Window Manager,主要功能是借由硬体加速来呈现Windows的图像使用者介面,微软并未公布相关的CVE-2023-36033漏洞细节,仅说成功的攻击将允许骇客取得系统权限。影响Windows Cloud Files Mini Filter Driver的CVE-2023-36036也是个权限扩张漏洞,此一驱动程式为Windows的预设功能,专门用来管理云端档案,亦允许骇客取得系统权限。
趋势Zero Day Initiative(ZDI)团队分析,不管是CVE-2023-36033或CVE-2023-36036看起来都可用来搭配远端程式攻击漏洞,即使只被列为重要漏洞也应优先修补。
SmartScreen则是一个基于云端的反网钓与反恶意程式元件,被应用在诸如Windows、IE及Microsoft Edge等微软产品中,根据微软的说明,CVE-2023-36025漏洞允许骇客绕过SmartScreen的检查与相关提示,前提是使用者必须点选特制的Internet Shortcut (.URL)档案,或是一个连至一个恶意.URL档案的超连结。
另外还有两个已被公布但尚未遭到攻击的零时差漏洞为CVE-2023-36038与CVE-2023-36413,前者是ASP.NET Core的服务阻断漏洞,后者则可用来绕过Microsoft Office安全功能。
本月只有3个安全漏洞被列为重大(Critical)等级,分别是CVE-2023-36052、CVE-2023-36400与CVE-2023-36397。其中,CVE-2023-36052为Azure CLI REST Command的资讯揭露漏洞,成功利用此一漏洞的骇客将可复原由特定CLI命令建立、且由Azure DevOps或GitHub Actions发布的纪录档中的明文密码及使用者名称。意味著未经授权的骇客将可透过存放于开源储存库中的纪录档案找到内含的凭证。微软建议受影响的用户应将Azure CLI升级至2.53.1或以上的版本。
CVE-2023-36400则是Windows HMAC金钥衍生的权限扩张漏洞,成功的攻击将允许骇客以低特权的Hyper-V Guest穿越安全边界以于Hyper-V Host环境中执行程式,要利用该漏洞的前提是骇客必须先登入系统,再借由特制的应用程式攻击该漏洞并获得系统控制权。
CVE-2023-36397是Windows Pragmatic General Multicast(PGM)的远端程式攻击漏洞,其CVSS风险评分高达9.8,为本月微软所修补的安全漏洞中风险最高的。PGM是个群播协定,它让接收方得以侦测并要求重新传输所遗失的资料,也能针对无可挽回的遗失祭出通知,总之是由接收方负担接收所有资料的责任。
微软说明,当Windows讯息伫列服务于PGM伺服器环境中运作时,骇客只要透过网路传送一个特制的档案就能实现远端程式执行,并尝试触发恶意程式码。