已复现Office RCE!微软11月补丁日重点漏洞解读
2023-11-15 15:18:3 Author: 微步在线研究响应中心(查看原文) 阅读量:13 收藏
1

           概要和风险通告    

2

           重点关注

经研判,需要关注的漏洞共12个如下表所示:

编号

漏洞名称

风险等级

漏洞类型

利用可能

CVE-2023-36025

Windows SmartScreen 安全功能绕过漏洞

重要

安全功能绕过

已有在野利用

CVE-2023-36033

Windows DWM 核心库特权提升漏洞

重要

特权提升

已有在野利用

CVE-2023-36036

Windows Cloud Files Mini Filter Driver 特权提升漏洞

重要

特权提升

已有在野利用

CVE-2023-36017

Windows 脚本引擎内存损坏漏洞

重要

远程代码执行

极大可能被利用

CVE-2023-36039

Microsoft Exchange Server 欺骗漏洞

重要

欺骗

极大可能被利用

CVE-2023-36050

Microsoft Exchange Server 欺骗漏洞

重要

欺骗

极大可能被利用

CVE-2023-36399

Windows 存储特权提升漏洞

重要

特权提升

极大可能被利用

CVE-2023-36413

Microsoft Office 安全功能绕过漏洞

重要

安全功能绕过

极大可能被利用

CVE-2023-36424

Windows 通用日志文件系统驱动程序提升权限漏洞

重要

特权提升

极大可能被利用

CVE-2023-36439

Microsoft Exchange Server 远程执行代码漏洞

重要

远程代码执行

极大可能被利用

CVE-2023-38177

Microsoft SharePoint Server 远程执行代码漏洞

重要

远程代码执行

极大可能被利用

CVE-2023-36397

Windows Pragmatic General Multicast (PGM) 远程代码执行漏洞

严重

远程代码执行

不太可能被利用

其中CVE-2023-36413值得重点关注,攻击者利用该漏洞可以绕过Office的保护模式,绕过保护模式后可与其他漏洞串联起来成为一条完整的远程代码执行链,与CVE-2023-36884/CVE-2023-36584有相同的攻击效果。

另外,该漏洞已经存在很长一段时间,最早使用该漏洞的样本可追溯到2017年。目前,已经发现有APT组织利用CVE-2023-36884/CVE-2023-36584相关漏洞链进行定点攻击,不排除CVE-2023-36413同样也已经被黑客组织使用。

相关链接:In-Depth Analysis of July 2023 Exploit Chain Featuring CVE-2023-36884 and CVE-2023-36584(https://unit42.paloaltonetworks.com/new-cve-2023-36584-discovered-in-attack-chain-used-by-russian-apt/)

3

           重点关注漏洞详细信息        

需要关注的12个漏洞,影响的产品分别为Exchange Server、Office、Sharepoint Server和Windows组件和驱动,各产品的漏洞信息如下所示:

1、Microsoft Exchange Server

漏洞编号

CVE

CVE-2023-36439

漏洞评估

微软危害评级

重要

漏洞类型

远程执行代码

公开程度

PoC未公开

利用条件

有权限要求

交互要求

0-click

威胁类型

远程

利用情报

已捕获攻击行为

未发现

影响产品

产品名称

Microsoft Exchange Server

影响范围

万级

有无修复补丁

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36439

漏洞编号

CVE

CVE-2023-36050/CVE-2023-36039/CVE-2023-36035

漏洞评估

微软危害评级

重要

漏洞类型

欺骗

公开程度

PoC未公开

利用条件

有权限要求

交互要求

0-click

威胁类型

远程

利用情报

已捕获攻击行为

未发现

影响产品

产品名称

Microsoft Exchange Server

影响范围

万级

有无修复补丁

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36050

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36039

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36035


2、Microsoft Office

漏洞编号

CVE

CVE-2023-36413

漏洞评估

微软危害评级

重要

漏洞类型

安全功能绕过

公开程度

PoC未公开

利用条件

无权限要求

交互要求

1-click

威胁类型

远程

利用情报

已捕获攻击行为

未发现

影响产品

产品名称

Microsoft Office

影响范围

万级

有无修复补丁

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36413


3、Microsoft SharePoint Server

漏洞编号

CVE

CVE-2023-38177

漏洞评估

微软危害评级

重要

漏洞类型

远程代码执行

公开程度

PoC未公开

利用条件

有权限要求

交互要求

0-click

威胁类型

远程

利用情报

已捕获攻击行为

未发现

影响产品

产品名称

Microsoft SharePoint Server

影响范围

万级

有无修复补丁

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-38177

  

4、Windows组件和驱动

4.1、权限提升

漏洞编号

CVE

CVE-2023-36033/CVE-2023-36036

漏洞评估

微软危害评级

重要

漏洞类型

权限提升

公开程度

PoC未公开

利用条件

有权限要求(低权限)

交互要求

0-click

威胁类型

远程

利用情报

已捕获攻击行为

已发现

影响产品

组件名称

Windows DWM Core Library/Windows Cloud Files Mini Filter Driver

影响范围

万级

有无修复补丁

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36033

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36036

漏洞编号

CVE

CVE-2023-36394/CVE-2023-36399/CVE-2023-36424

漏洞评估

微软危害评级

重要

漏洞类型

权限提升

公开程度

PoC未公开

利用条件

有权限要求(低权限)

交互要求

0-click

威胁类型

远程

利用情报

已捕获攻击行为

未发现

影响产品

组件名称

Windows Search Service/Windows Storage/Windows Common Log File System Driver

影响范围

万级

有无修复补丁

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36394

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36399

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36424

4.2、安全功能绕过

漏洞编号

CVE

CVE-2023-36025

漏洞评估

微软危害评级

重要

漏洞类型

安全功能绕过

公开程度

PoC未公开

利用条件

无权限要求

交互要求

1-click

威胁类型

远程

利用情报

已捕获攻击行为

已发现

影响产品

组件名称

Windows SmartScreen

影响范围

万级

有无修复补丁

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36025

4.3、远程代码执行

漏洞编号

CVE

CVE-2023-36397

漏洞评估

微软危害评级

严重

漏洞类型

远程代码执行

公开程度

PoC未公开

利用条件

无权限要求

交互要求

0-click

威胁类型

远程

利用情报

已捕获攻击行为

未发现

影响产品

组件名称

PGM协议

影响范围

万级

有无修复补丁

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36397

该漏洞Windows给了9.8的评分,无需权限和交互即可远程执行代码,但是成功利用该漏洞的前提是主机上需要开启Windows消息队列服务。如果满足了该条件,请尽快进行更新。

4

           处置建议

4.1官方防护建议

请及时将相应的产品更新到最新版本。

4.2临时防护建议

加强办公终端网络安全防护,加强内外网的威胁监控尤其是失陷监控。可通过微步OneSEC 进行实时监控,及时发现失陷主机。
5

           参考链接

1. https://msrc.microsoft.com/update-guide

2.https://unit42.paloaltonetworks.com/new-cve-2023-36584-discovered-in-attack-chain-used-by-russian-apt/

---End---


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247503812&idx=1&sn=ce3fe0994d5ee5b240602e945b5a234b&chksm=cfcaacd0f8bd25c607b89b71cec57de0ea1f899d6290805e9f6771067a39752bcf7c6f2b6777&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh