微软于 10 日发布了 2023 年的第一个更新,修复了其Windows操作系统和其他软件中的近 100 个安全漏洞。
2023 年第一个补丁星期二的亮点包括:Windows 中的零日漏洞、美国国家安全局报告的打印机软件缺陷,以及允许未经身份验证的远程攻击者建立匿名连接的严重 Microsoft SharePoint Server 错误。
发布的补丁中至少有 11 个被微软评为“严重”,这意味着它们可能会被恶意软件或不满者利用,在用户很少或根本没有帮助的情况下夺取对易受攻击的 Windows 系统的远程控制。
运行 Microsoft SharePoint Server 的组织尤其要关注 CVE-2023-21743。这是一个严重的安全绕过漏洞,可能允许未经身份验证的远程攻击者匿名连接到易受攻击的 SharePoint 服务器。
微软表示,这个漏洞在某个时候“更有可能被利用”。
但修补此错误可能不像部署 Microsoft 更新那么简单。趋势科技零日计划威胁意识负责人表示,系统管理员需要采取额外措施以充分保护免受此漏洞的影响。
要完全解决此错误,您还必须触发 SharePoint 升级操作,该操作也包含在此更新中,关于如何做到这一点的全部细节都在公告中。像这样的情况就是为什么人们尖叫“只要修补它!” 表明他们实际上从未需要在现实世界中为企业打补丁。
其中 87 个漏洞获得了 Redmond 稍微不那么可怕的“重要”严重性评级。该名称描述了“利用这些漏洞可能会损害用户数据的机密性、完整性或可用性,或者处理资源的完整性或可用性”的漏洞。
本月最重要的漏洞之一是 CVE-2023-21674,这是大多数受支持的 Windows 版本中的“特权提升”漏洞,已在主动攻击中被滥用。
Tenable 的高级研究工程师表示,虽然在微软周二发布补丁公告时还没有关于该漏洞的详细信息,但看起来这可能与基于 Chromium 的浏览器(如 Google Chrome)中的漏洞有关或 Microsoft Edge 以突破浏览器的沙箱并获得完整的系统访问权限。
像 CVE-2023-21674 这样的漏洞通常是高级持续威胁 (APT) 组织作为目标攻击的一部分所为,由于用于修补浏览器的自动更新功能,未来像这样广泛利用漏洞利用链的可能性是有限的。
顺便问一下,您最后一次完全关闭 Web 浏览器并重新启动它是什么时候?
一些浏览器会自动下载并安装新的安全更新,但这些更新的保护通常只在您重新启动浏览器后才会发生。
说到 APT 组织,美国国家安全局报告了 CVE-2023-21678,这是 Windows Print Spooler 软件中的另一个“重要”漏洞。
在过去的一年里,微软的打印软件修复了太多的漏洞(包括卑鄙的PrintNightmare 攻击和 borked 补丁),这是 NSA 在去年报告的第三个 Print Spooler 缺陷。
特别应该注意 CVE-2023-21563,这是 BitLocker 中的安全功能绕过,BitLocker 是企业版 Windows 中内置的数据和磁盘加密技术。
对于拥有远程用户或出差用户的组织来说,这个漏洞可能会引起人们的兴趣,我们依靠 BitLocker 和全盘加密工具来确保我们的文件和数据安全,以防笔记本电脑或设备被盗。
虽然信息很少,但这似乎表明攻击者有可能绕过这种保护并获得对底层操作系统及其内容的访问权限。如果安全团队无法应用此补丁,一种潜在的缓解措施可能是确保远程设备管理部署具有远程禁用和擦除资产的能力。
本月还修复了两个 Microsoft Exchange 漏洞:CVE-2023-21762 和 CVE-2023-21745。鉴于威胁行为者利用新的 Exchange 错误窃取公司电子邮件并渗透易受攻击的系统的速度如此之快,使用 Exchange 的组织应立即修补。
微软的公告称,这些 Exchange 缺陷确实“更有可能被利用”。
Adobe发布了四个补丁,解决了Adobe Acrobat和 Reader、InDesign、InCopy和Adobe Dimension中的 29 个缺陷。
Reader 的更新修复了 15 个错误,其中 8 个严重程度为“严重”(如果受影响的系统打开特制文件,则允许执行任意代码)。
如需更详细地了解发布的更新,请参阅 SANS Internet Storm Center 综述(链接1)。
将近 100 个更新很多,而且肯定会有一些补丁会给组织和最终用户带来问题。
在应用任何更新之前,请考虑备份您的数据和或对您的系统进行备份。如果您因这些补丁而遇到任何问题,应及时反馈。
链接1:
https://isc.sans.edu/diary/Microsoft%20January%202023%20Patch%20Tuesday/29420
2023年网络空间安全预测
Avast 发布免费的 BianLian 勒索软件解密器
破解五角大楼3.0漏洞赏金计划专注于设施控制系统
