微软于本周二(4/11)释出的4月Patch Tuesday修补了97个安全漏洞,包含一个已遭勒索软体骇客滥用的零时差漏洞CVE-2023-28252,网络安全暨基础设施安全局(CISA)几乎是同步把该漏洞纳入「已知遭开采漏洞」(Known Exploited Vulnerabilities)目录中, 要求政府机关要在5月2日之前修补。
CVE-2023-28252漏洞位于Windows的通用纪录文件系统(Common Log File System,CLFS)驱动程序中,属于权限扩张漏洞,只被微软列为重要(Important)等级的漏洞。
然而,向微软通报CVE-2023-28252漏洞的资安业者卡巴斯基表示,他们在今年2月就发现黑客企图于许多中小企业的Windows服务器上执行权限扩张攻击程序,它们跟过去的CLFS驱动程序攻击程序很像,进一步分析后才发现其中之一利用了零时差的CVE-2023-28252。
卡巴斯基说,过去利用零时差漏洞的大多属于进阶持续性渗透攻击(APT),而CVE-2023-28252却是被黑客用来部署Nokoyawa勒索软件。
至于趋势科技的ZDI(Zero Day Initiative)团队则说,他们怀疑这是微软在2月没能充份修补CVE-2023-23376所招致的结果。 CVE-2023-23376同样为CLFS驱动程序的权限扩张漏洞,在微软修补当时也已遭到滥用,ZDI认为黑客找到了绕过CVE-2023-23376修补程序的方法。
总之,黑客通常会找出其它的程序执行漏洞来搭配权限扩张漏洞,以用来散布恶意程序或勒索软件,被资安业者视为本月应优先修补的漏洞之一。
微软在本月修补的97个漏洞中,只有7个被列为重大(Critical)漏洞,却有接近一半的漏洞可用来执行远程程序攻击。 当中有两个CVSS风险评分高达9.8的安全漏洞,它们分别是CVE-2023-21554与CVE-2023-28250,皆与Windows Message Queuing服务有关,成功的攻击将允许黑客执行任意程序。
此外,微软也在今年4月重新发布了2013年释出的CVE-2013-3900修补程序,这是Windows的WinVerifyTrust签章验证漏洞,由于它在3CX被骇事件中又遭到黑客滥用,使得微软更新了该漏洞的建议,也新增所支持的平台。
