微软于今年11月的Patch Tuesday总计修补了逾60个安全漏洞,包含5个零时差漏洞,其中又有3个已遭黑客利用。
本月的零时差漏洞都只被列为重要(Important)漏洞,当中已遭黑客利用的是涉及Windows DWM Core Library的CVE-2023-36033、与Windows Cloud Files Mini Filter Driver有关的CVE-2023-36036,以及可绕过Windows SmartScreen安全功能的CVE-2023-36025。
DWM的全名为Desktop Window Manager,主要功能是藉由硬件加速来呈现Windows的图像用户界面,微软并未公布相关的CVE-2023-36033漏洞细节,仅说成功的攻击将允许黑客取得系统权限。 影响Windows Cloud Files Mini Filter Driver的CVE-2023-36036也是个权限扩张漏洞,此一驱动程序为Windows的预设功能,专门用来管理云端文件,亦允许黑客取得系统权限。
趋势Zero Day Initiative(ZDI)团队分析,不管是CVE-2023-36033或CVE-2023-36036看起来都可用来搭配远程程序攻击漏洞,即使只被列为重要漏洞也应优先修补。
SmartScreen则是一个基于云端的反网钓与反恶意程式元件,被应用在诸如Windows、IE及Microsoft Edge等微软产品中,根据微软的说明,CVE-2023-36025漏洞允许黑客绕过SmartScreen的检查与相关提示,前提是用户必须点选特制的Internet Shortcut (. URL)文件,或是一个连至一个恶意. URL文件的超链接。
另外还有两个已被公布但尚未遭到攻击的零时差漏洞为CVE-2023-36038与CVE-2023-36413,前者是 ASP.NET Core的服务阻断漏洞,后者则可用来绕过Microsoft Office安全功能。
本月只有3个安全漏洞被列为重大(Critical)等级,分别是CVE-2023-36052、CVE-2023-36400与CVE-2023-36397。 其中,CVE-2023-36052为Azure CLI REST Command的信息揭露漏洞,成功利用此一漏洞的骇客将可复原由特定CLI命令建立、且由Azure DevOps或GitHub Actions发布的纪录文件中的明文密码及使用者名称。 意味着未经授权的骇客将可通过存放于开源存储库中的纪录文件找到内含的凭证。 微软建议受影响的用户应将Azure CLI升级至2.53.1或以上的版本。
CVE-2023-36400则是Windows HMAC密钥衍生的权限扩张漏洞,成功的攻击将允许骇客以低特权的Hyper-V Guest穿越安全边界以于Hyper-V Host环境中执行程序,要利用该漏洞的前提是黑客必须先登入系统,再藉由特制的应用程序攻击该漏洞并获得系统控制权。
CVE-2023-36397是Windows Pragmatic General Multicast(PGM)的远程程序攻击漏洞,其CVSS风险评分高达9.8,为本月微软所修补的安全漏洞中风险最高的。 PGM是个群播协议,它让接收方得以侦测并要求重新传输所遗失的资料,也能针对无可挽回的遗失祭出通知,总之是由接收方负担接收所有资料的责任。
微软说明,当Windows信息队列服务于PGM服务器环境中运作时,骇客只要通过网络传送一个特制的文件就能实现远程程序执行,并尝试触发恶意代码。
