一、概述
近日,赛博昆仑CERT监测到微软发布了2023年5月安全更新,涉及以下应用:Microsoft Bluetooth Driver, Microsoft Edge (Chromium-based), Microsoft Graphics Component, Microsoft Office, Microsoft Office Access, Microsoft Office Excel, Microsoft Office SharePoint, Microsoft Windows Codecs Library, Reliable Multicast Transport Driver (RMCAST) 等。
总共修复了40个漏洞,中危漏洞1个,高危漏洞33个,严重漏洞6个,其中3个严重由昆仑实验室研究员发现并上报。本月昆仑实验室研究员共协助微软修复了6个安全漏洞。
- CVE-2023-28283 Yuki Chen with Cyber KunLun
- CVE-2023-24939 Wei in Kunlun Lab with Cyber KunLun
- CVE-2023-24901 Wei in Kunlun Lab with Cyber KunLun
- CVE-2023-24941 Wei in Kunlun Lab with Cyber KunLun
- CVE-2023-24903 Yuki Chen with Cyber KunLun
- CVE-2023-24946 k0shl with Kunlun Lab
二、漏洞详情
经过赛博昆仑CERT的分析,这里列出部分值得关注的漏洞,详细信息如下:1. 已知被利用漏洞
- CVE-2023-29336 Win32k 权限提升漏洞
该漏洞被标记为“已知被利用漏洞”。该漏洞存在于 Windows win32k驱动中,成功利用此漏洞的攻击者可以获得SYSTEM特权。该漏洞被标记为“已知被利用漏洞”。要利用此漏洞,攻击者需要对目标设备具有物理访问权限或管理权限然后安装受影响的启动策略,成功利用此漏洞的攻击者可以绕过安全启动。
微软官方的说明链接如下:https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
2. 重点关注漏洞
- CVE-2023-28283 Windows Lightweight Directory Access Protocol (LDAP) 远程代码执行漏洞
Windows Lightweight Directory Access Protocol (LDAP) 服务存在一个条件竞争漏洞,未经身份验证的攻击者利用此漏洞可以通过一组特制的 LDAP 调用获得代码执行权限,从而在 LDAP 服务的上下文中执行任意代码。- CVE-2023-24941 Windows Network File System 远程代码执行漏洞
Windows 网络文件系统 (NFS) 服务中存在一个远程代码执行漏洞,攻击者通过对网络文件系统 (NFS) 服务进行未经身份验证的特制调用就可以触发远程代码执行 (RCE)。此漏洞在 NFSV2.0 或 NFSV3.0 中不可以利用。在更新可抵御此漏洞的 Windows 版本之前,可以通过禁用 NFSV4.1 来减轻此攻击,本缓解措施可能会对实际业务造成影响,应仅作为临时应对措施使用。- CVE-2023-24943 Windows Pragmatic General Multicast (PGM) 远程代码执行漏洞
Windows Pragmatic General Multicast (PGM) 存在一个远程代码执行漏洞,在启用了Message Queue的多播监听环境中,攻击者可以通过网络实现远程代码执行并试图触发恶意代码。只有启用了Message Queue多播监听环境受此漏洞影响,为降低风险,建议客户部署更新。- CVE-2023-24955 Microsoft SharePoint Server 远程代码执行漏洞
Microsoft SharePoint Server 中存在一个远程代码执行漏洞,在基于网络的攻击中,经过身份验证的攻击者作为网站所有者可以在 SharePoint 服务器上远程执行代码。- CVE-2023-24903 Windows Secure Socket Tunneling Protocol (SSTP) 远程代码执行漏洞
Windows Secure Socket Tunneling Protocol (SSTP)服务中存在一个条件竞争漏洞,要利用此漏洞,攻击者需要向 SSTP 服务器发送特制的恶意 SSTP 数据包。这可能会导致服务器端执行远程代码。- CVE-2023-29325 Windows OLE 远程代码执行漏洞
Windows OLE 中存在一个远程代码执行漏洞,成功利用此漏洞需要攻击者赢得竞争条件,并在利用之前采取其他措施来准备目标环境。在电子邮件的攻击情形中,攻击者可以通过向受害者发送特制电子邮件来利用此漏洞。对该漏洞的利用可能涉及受害者使用受影响的 Microsoft Outlook 软件版本打开特制电子邮件,或者受害者的 Outlook 应用程序显示特制电子邮件的预览。这可能导致攻击者在受害者的机器上执行远程代码。为帮助防范此漏洞,建议用户阅读纯文本格式的电子邮件。- CVE-2023-29324 Windows MSHTML Platform 权限提升漏洞
Windows MSHTML Platform 中存在一个权限提升漏洞,成功利用此漏洞需要攻击者在利用之前采取额外的措施来准备目标环境,成功利用此漏洞的攻击者可以获得管理员权限。3月份的CVE-2023-23397补丁可被该漏洞绕过,赛博昆仑洞见产品的3月Outlook热补丁可防御此漏洞针对Outlook的攻击。目前,官方已发布安全补丁,建议受影响的用户尽快升级至安全版本。 May 2023 Security Updates https://msrc.microsoft.com/update-guide/releaseNote/2023-May赛博昆仑作为微软主动保护计划(Microsoft Active Protections Program,MAPP)的合作伙伴,可以获得微软最新的高级网络威胁信息和相关防御手段、技术的分享,在微软每月安全更新公开发布之前更早地获取漏洞信息,并对赛博昆仑-洞见平台可以第一时间进行更新,为客户提供更迅速有效的安全防护。
赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。
联系邮箱:[email protected]
公众号:赛博昆仑CERT
五、参考链接
https://msrc.microsoft.com/update-guide/releaseNote/2023-May2023年5月10日,赛博昆仑CERT发布安全风险通告
文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247484129&idx=1&sn=dde7eb6e6c66cc174645b2d8abef7445&chksm=c12aff60f65d7676374497611a90fd4740530956c9175da39c1b975e6224fc47f55040e3a306#rd
如有侵权请联系:admin#unsafe.sh