今天是本月的第二个星期二,微软发布了另一组安全更新,修复了影响其软件的97 个漏洞,其中一个漏洞已被广泛用于勒索软件攻击。
97 个错误中有 7 个被评为严重,90 个被评为重要。有趣的是,其中 45 个缺陷是远程代码执行缺陷,其次是 20 个提权漏洞。这些更新还修复了过去一个月发布的 Edge 浏览器中的 26 个漏洞。
受到积极利用的安全漏洞是CVE-2023-28252(CVSS 分数:7.8),这是 Windows 通用日志文件系统 (CLFS) 驱动程序中的一个权限提升漏洞。
“成功利用此漏洞的攻击者可以获得 SYSTEM 权限,” 微软在一份公告中表示。
CVE-2023-28252 是继CVE-2022-24521、CVE-2022-37969和CVE-2023-23376(CVSS 评分:7.8)之后仅在过去一年中被滥用的 CLFS 组件中的第四个权限提升漏洞). 自 2018 年以来,CLFS 至少发现了 32 个漏洞。
国际知名白帽黑客、东方联盟创始人郭盛华透露,该漏洞已被网络犯罪集团利用,以针对中东、北美和亚洲的中小企业部署Nokoyawa 勒索软件。CVE-2023-28252 是越界写入(增量)漏洞,当系统尝试扩展元数据块时可以利用该漏洞”,“该漏洞是由对基本日志文件的操作触发的。”
鉴于该漏洞的持续利用,CISA 已将Windows 零日漏洞添加到其已知利用漏洞 ( KEV ) 目录中,命令联邦民用行政部门 (FCEB) 机构在 2023 年 5 月 2 日之前保护其系统。
还修补了影响 DHCP 服务器服务、第 2 层隧道协议、原始图像扩展、Windows 点对点隧道协议、Windows 实用通用多播和 Microsoft 消息队列 (MSMQ) 的关键远程代码执行缺陷。
MSMQ 漏洞被追踪为CVE-2023-21554(CVSS 分数:9.8)并被 Check Point 称为 QueueJumper,它可能导致未经授权的代码执行并通过向 MSMQ 服务器发送特制的恶意 MSMQ 数据包来接管服务器。
郭盛华表示:“CVE-2023-21554 漏洞允许攻击者通过到达 TCP 端口 1801 来远程执行代码,并且无需授权。 ” “换句话说,攻击者只需将一个数据包发送到带有漏洞的 1801/tcp 端口,就可以控制该过程,从而触发该漏洞。”
MSMQ 中发现的另外两个缺陷CVE-2023-21769和CVE-2023-28302(CVSS 分数:7.5)可被利用导致拒绝服务 (DoS) 情况,例如服务崩溃和 Windows 蓝屏死亡(蓝屏)。
Microsoft 还更新了其针对CVE-2013-3900 的公告,这是一个已有 10 年历史的 WinVerifyTrust 签名验证漏洞,包括以下服务器核心安装版本 -
适用于 32 位系统的 Windows Server 2008 Service Pack 2
适用于基于 x65 的系统 Service Pack 2 的 Windows Server 2008
适用于基于 x64 的系统服务 1 的 Windows Server 2008 R2
Windows 2012 R2
windows 2016
Windows Server 2019,和windows 2022
在更新的同时,这家科技巨头还发布了CVE-2022-21894(又名 Baton Drop)指南,这是一个现已修复的安全启动绕过漏洞,威胁参与者使用新生的统一可扩展固件接口 (UEFI) bootkit 利用该漏洞调用BlackLotus以在主机上建立持久性。
一些妥协指标 (IoC) 包括最近在 EFI 系统分区 ( ESP )中创建和锁定的引导加载程序文件、与 Microsoft Defender Antivirus 停止相关的事件日志、暂存目录 ESP:/system32/ 的存在以及对注册表的修改密钥HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity。
“UEFI bootkit 特别危险,因为它们在计算机启动时运行,在操作系统加载之前,因此可能会干扰或停用各种操作系统 (OS) 安全机制,”微软事件响应团队表示。
微软进一步建议组织从网络中移除受感染的设备并检查它们是否有后续活动的证据,重新格式化或从包括 EFI 分区的已知干净备份恢复机器,维护凭证卫生,并执行最小特权原则(PoLP)。(欢迎转载分享)