微软于5月10日的Patch Tuesday修补了38个安全漏洞,包括3个零时差漏洞,当中涉及Win32k的CVE-2023-29336,以及与Secure Boot安全功能有关的CVE-2023-24932都已遭到黑客利用,另一个Windows OLE远程程序攻击漏洞 CVE-2023-29325则在先前已被公开,惟尚未察觉攻击行动。 本月微软修补的漏洞中有7个被列为重大(Critical)漏洞,上述的CVE-2023-29325即为其中之一。
与Win32k有关的CVE-2023-29336属于权限扩张漏洞,虽然它只被列为重要(Important)等级,CVSS风险评分为7.8,但成功的攻击允许黑客取得系统权限,趋势科技Zero Day Initiative(ZDI)团队则说,这类的漏洞通常会结合远程程序攻击漏洞, 以用来散布恶意程序。
至于CVE-2023-24932则为安全开机(Secure Boot)的安全功能绕过漏洞,此一漏洞允许骇客在启用安全开机的情况下,于UEFI等级执行自我签署的代码,黑客通常利用这类的漏洞来躲避侦测或企图永久进驻系统。 不过,攻击该漏洞的前提是黑客必须实际存取目标装置,或是取得目标装置的本地管理权限。
目前已知专门用来攻击UEFI安全开机功能的BlackLotus bootkit恶意程序,已利用CVE-2023-24932漏洞来绕过微软于去年1月所修补的类似漏洞CVE-2022-21894。
值得注意的是,微软准备分阶段修补CVE-2023-24932,本周即使已释出修补程序,但其部署预设值是关闭的,也无法提供保护,因为微软希望用户谨慎地手动部署此一更新,并提供详细的部署指南; 接着将于7月11日释出第二个更新版本,以提供额外的更新选择并简化保护的部署,明年第一季才会释出自动化的正式更新。
微软解释,此一安全开机功能得以精确控制操作系统在启动时所加载的开机媒体,倘若未能妥善部署更新,可能造成中断而无法启动系统。
CVE-2023-29325为微软本周所修补的零时差漏洞中风险最高的,其CVSS评分为8.1,它为Windows OLE的远程程序攻击漏洞,虽然是个已知漏洞,但尚未遭到黑客利用。 Windows OLE提供对象连结与嵌入功能,骇客可借由传送含有恶意丰富媒体内容的电子邮件展开攻击,因此微软建议用户最好以纯文字模式来阅读电子邮件以免受到危害。
ZDI团队提醒,该漏洞的攻击媒介为预览窗口,就算用户没有直接读取邮件或消息,而只是预览,都有可能受害。 此外,即使微软已提供了不修补CVE-2023-29325的暂时因应办法,但该漏洞已于社交媒体上掀起了广泛的讨论,Windows用户最好还是尽快测试与修补。
