近日,威尼斯432888camCERT监测到微软补丁日发布了97个漏洞的安全补丁(不包含4月6日修复的17个Microsoft Edge漏洞),其中,7个被评为紧急,90个被评为重要。共包含45个远程代码执行漏洞,20个权限提升漏洞,10个信息泄露漏洞,9个拒绝服务漏洞,7个安全功能绕过漏洞,6个欺骗漏洞。此外,微软还修复了1个0day漏洞,Windows通用日志文件系统驱动程序特权提升漏洞(CVE-2023-28252),已发现在野利用行为,建议用户尽快安装对应补丁以修复漏洞。
另外,微软宣布自2023年4月11日起停止对Exchange Server 2013提供技术支持,包括修复补丁和安全更新。建议使用该版本服务器的用户尽快更新版本,以减少系统漏洞可能带来的风险。
经威尼斯432888camCERT专家研判,列出如下部分值得关注的漏洞:
1、Windows通用日志文件系统驱动程序特权提升漏洞(CVE-2023-28252)
Windows通用日志文件系统驱动程序存在特权提升漏洞,漏洞编号为CVE-2023-28252,该漏洞评分为7.8重要(CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H),目前未公开,已发现在野利用。
Windows通用日志文件系统驱动程序为Windows操作系统提供了统一的日志记录支持,可自动识别和转换各种日志格式。此漏洞是一个入侵后漏洞,攻击者可以在获得对易受攻击目标的访问权限后利用它。成功利用该漏洞的攻击者可获得SYSTEM权限。
2、Microsoft消息队列远程代码执行漏洞(CVE-2023-21554)
Microsoft消息队列存在远程代码执行漏洞,漏洞编号为CVE-2023-21554,该漏洞评分为9.8紧急(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H),目前未公开,未发现在野利用。
Microsoft消息队列 (MSMQ) 是一种在Windows操作系统上运行的应用程序,用于在分布式应用程序之间传递消息。攻击者可以利用这个漏洞,向开启了Windows消息队列服务的受影响MSMQ服务器发送特制的MSMQ数据包,并利用主机上的TCP端口1801来实现远程代码执行。
3、Windows Pragmatic General Multicast(PGM)远程代码执行漏洞(CVE-2023-28250)
Windows Pragmatic General Multicast(PGM)存在远程代码执行漏洞,漏洞编号为CVE-2023-28250,漏洞评分均为9.8紧急(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H),目前未公开,未发现在野利用。
Windows Pragmatic General Multicast (PGM) 是一种可靠的组播协议,用于在广域网 (WAN) 上可靠地传输数据。攻击者可以利用该漏洞,通过向启用了MSMQ服务的目标主机发送经过特殊构造的文件来执行任意代码。
4、DHCP Server Service远程代码执行漏洞(CVE-2023-28231)
DHCP Server Service存在远程代码执行漏洞,漏洞编号为CVE-2023-28231,该漏洞评分为8.8紧急(CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H),目前未公开,未发现在野利用。
DHCP Server Service是一种网络服务,用于自动分配IP地址、子网掩码、默认网关等信息给客户端设备。攻击者需要先获得对受限网络的访问权限,并使用特制的RPC调用来利用此漏洞,成功利用漏洞可以导致远程执行代码。
5、Raw Image Extension远程代码执行漏洞(CVE-2023-28291)
Raw Image Extension存在远程代码执行漏洞,漏洞编号为CVE-2023-28291,漏洞评分均为8.4严重(CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H),目前未公开,未发现在野利用。
Raw Image Extension是一款Windows 10的扩展程序,可帮助用户在系统上查看和编辑相机原始图像文件。利用该漏洞,攻击者需要先登录系统,并通过特制应用程序来控制受影响系统。此外,攻击者还可以通过诱使本地用户打开恶意文件来利用此漏洞,但攻击本身是在本地进行的,因此攻击者或受害者需要从本地计算机执行代码才能利用此漏洞。
6、Windows点对点隧道协议远程代码执行漏洞(CVE-2023-28232)
Windows点对点隧道协议存在远程代码执行漏洞,漏洞编号为CVE-2023-28232,漏洞评分均为7.5紧急(CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H),目前未公开,未发现在野利用。
Windows点对点隧道协议(PPTP)是一种用于创建虚拟私有网络(VPN)连接的协议。攻击者需要在利用该漏洞之前,采取额外的措施来准备目标环境。当用户将Windows客户端连接到恶意服务器时,可能会触发此漏洞,导致攻击者执行任意代码。
漏洞编号
* CVE-2023-28314 Microsoft Dynamics 365 (on-premises) 跨站脚本漏洞
* CVE-2023-28313 Microsoft Dynamics 365客户语音跨站脚本漏洞
* CVE-2023-28312 Azure机器学习信息泄露漏洞
* CVE-2023-28311 Microsoft Word远程代码执行漏洞
* CVE-2023-28309 Microsoft Dynamics 365 (on-premises) 跨站脚本漏洞
* CVE-2023-28308 Windows DNS服务器远程代码执行漏洞
* CVE-2023-28307 Windows DNS服务器远程代码执行漏洞
* CVE-2023-28306 Windows DNS服务器远程代码执行漏洞
* CVE-2023-28305 Windows DNS服务器远程代码执行漏洞
* CVE-2023-28304 Microsoft ODBC和OLE DB远程代码执行漏洞
* CVE-2023-28302 Microsoft消息队列拒绝服务漏洞
* CVE-2023-28300 Azure服务连接器安全功能绕过漏洞
* CVE-2023-28299 Visual Studio欺骗漏洞
* CVE-2023-28298 Windows内核拒绝服务漏洞
* CVE-2023-28297 Windows远程过程调用服务 (RPCSS) 特权提升漏洞
* CVE-2023-28296 Visual Studio远程代码执行漏洞
* CVE-2023-28295 Microsoft Publisher远程代码执行漏洞
* CVE-2023-28293 Windows 内核特权提升漏洞
* CVE-2023-28292 原始图像扩展远程代码执行漏洞
* CVE-2023-28291 原始图像扩展远程代码执行漏洞
* CVE-2023-28288 Microsoft SharePoint Server欺骗漏洞
* CVE-2023-28287 Microsoft Publisher远程代码执行漏洞
* CVE-2023-28285 Microsoft Office图形远程代码执行漏洞
* CVE-2023-28278 Windows DNS服务器远程代码执行漏洞
* CVE-2023-28277 Windows DNS服务器信息泄露漏洞
* CVE-2023-28276 Windows组策略安全功能绕过漏洞
* CVE-2023-28275 SQL Server远程代码执行漏洞的Microsoft WDAC OLE DB提供程序
* CVE-2023-28274 Windows Win32k特权提升漏洞
* CVE-2023-28273 Windows Clip服务特权提升漏洞
* CVE-2023-28272 Windows内核特权提升漏洞
* CVE-2023-28271 Windows内核内存信息泄露漏洞
* CVE-2023-28270 Windows锁屏安全功能绕过漏洞
* CVE-2023-28269 Windows启动管理器安全功能绕过漏洞
* CVE-2023-28268 Netlogon RPC特权提升漏洞
* CVE-2023-28267 远程桌面协议客户端信息泄露漏洞
* CVE-2023-28266 Windows通用日志文件系统驱动程序信息泄露漏洞
* CVE-2023-28263 Visual Studio信息泄露漏洞
* CVE-2023-28262 Visual Studio特权提升漏洞
* CVE-2023-28260 .NET DLL劫持远程代码执行漏洞
* CVE-2023-28256 Windows DNS服务器远程代码执行漏洞
* CVE-2023-28255 Windows DNS服务器远程代码执行漏洞
* CVE-2023-28254 Windows DNS服务器远程代码执行漏洞
* CVE-2023-28253 Windows内核信息泄露漏洞
* CVE-2023-28252 Windows通用日志文件系统驱动程序特权提升漏洞
* CVE-2023-28250 Windows Pragmatic General Multicast (PGM) 远程代码执行漏洞
* CVE-2023-28249 Windows启动管理器安全功能绕过漏洞
* CVE-2023-28248 Windows内核特权提升漏洞
* CVE-2023-28247 Windows网络文件系统信息泄露漏洞
* CVE-2023-28246 Windows注册表特权提升漏洞
* CVE-2023-28244 Windows Kerberos特权提升漏洞
* CVE-2023-28243 Microsoft PostScript和PCL6类打印机驱动程序远程代码执行漏洞
* CVE-2023-28241 Windows安全套接字隧道协议 (SSTP) 拒绝服务漏洞
* CVE-2023-28240 Windows网络负载均衡远程代码执行漏洞
* CVE-2023-28238 Windows Internet密钥交换 (IKE) 协议扩展远程代码执行漏洞
* CVE-2023-28237 Windows内核远程代码执行漏洞
* CVE-2023-28236 Windows内核特权提升漏洞
* CVE-2023-28235 Windows锁屏安全功能绕过漏洞
* CVE-2023-28234 Windows安全通道拒绝服务漏洞
* CVE-2023-28233 Windows安全通道拒绝服务漏洞
* CVE-2023-28232 Windows点对点隧道协议远程代码执行漏洞
* CVE-2023-28231 DHCP服务器服务远程代码执行漏洞
* CVE-2023-28229 Windows CNG密钥隔离服务特权提升漏洞
* CVE-2023-28228 Windows欺骗漏洞
* CVE-2023-28227 Windows蓝牙驱动程序远程代码执行漏洞
* CVE-2023-28226 Windows注册引擎安全功能绕过漏洞
* CVE-2023-28225 WindowsNTLM特权提升漏洞
* CVE-2023-28224 Windows以太网点对点协议 (PPPoE) 远程代码执行漏洞
* CVE-2023-28223 Windows域名服务远程代码执行漏洞
* CVE-2023-28222 Windows内核特权提升漏洞
* CVE-2023-28221 Windows错误报告服务特权提升漏洞
* CVE-2023-28220 二层隧道协议远程代码执行漏洞
* CVE-2023-28219 二层隧道协议远程代码执行漏洞
* CVE-2023-28218 WinSock特权提升漏洞的Windows辅助功能驱动程序
* CVE-2023-28217 Windows网络地址转换 (NAT) 拒绝服务漏洞
* CVE-2023-28216 Windows高级本地过程调用 (ALPC) 特权提升漏洞
* CVE-2023-24931 Windows安全通道拒绝服务漏洞
* CVE-2023-24929 Microsoft PostScript和PCL6类打印机驱动程序远程代码执行漏洞
* CVE-2023-24928 Microsoft PostScript和PCL6类打印机驱动程序远程代码执行漏洞
* CVE-2023-24927 Microsoft PostScript和PCL6类打印机驱动程序远程代码执行漏洞
* CVE-2023-24926 Microsoft PostScript和PCL6类打印机驱动程序远程代码执行漏洞
* CVE-2023-24925 Microsoft PostScript和PCL6类打印机驱动程序远程代码执行漏洞
* CVE-2023-24924 Microsoft PostScript和PCL6类打印机驱动程序远程代码执行漏洞
* CVE-2023-24914 Win32k特权提升漏洞
* CVE-2023-24912 Windows图形组件特权提升漏洞
* CVE-2023-24893 Visual Studio Code远程代码执行漏洞
* CVE-2023-24887 Microsoft PostScript和PCL6类打印机驱动程序远程代码执行漏洞
* CVE-2023-24886 Microsoft PostScript和PCL6类打印机驱动程序远程代码执行漏洞
* CVE-2023-24885 Microsoft PostScript和PCL6类打印机驱动程序远程代码执行漏洞
* CVE-2023-24884 Microsoft PostScript和PCL6类打印机驱动程序远程代码执行漏洞
* CVE-2023-24883 Microsoft PostScript和PCL6类打印机驱动程序信息泄露漏洞
* CVE-2023-24860 Microsoft Defender拒绝服务漏洞
* CVE-2023-23384 Microsoft SQL Server远程代码执行漏洞
* CVE-2023-23375 Microsoft ODBC和OLE DB远程代码执行漏洞
* CVE-2023-21769 Microsoft消息队列拒绝服务漏洞
* CVE-2023-21729 远程过程调用运行时信息泄露漏洞
* CVE-2023-21727 远程过程调用运行时远程代码执行漏洞
* CVE-2023-21554 Microsoft消息队列远程代码执行漏洞
受影响的产品
* .NET Core
* Azure Machine Learning
* Azure Service Connector
* Microsoft Bluetooth Driver
* Microsoft Defender for Endpoint
* Microsoft Dynamics
* Microsoft Dynamics 365 Customer Voice
* Microsoft Edge (Chromium-based)
* Microsoft Graphics Component
* Microsoft Message Queuing
* Microsoft Office
* Microsoft Office Publisher
* Microsoft Office SharePoint
* Microsoft Office Word
* Microsoft PostScript Printer Driver
* Microsoft Printer Drivers
* Microsoft WDAC OLE DB provider for SQL
* Microsoft Windows DNS
* Visual Studio
* Visual Studio Code
* Windows Active Directory
* Windows ALPC
* Windows Ancillary Function Driver for WinSock
* Windows Boot Manager
* Windows Clip Service
* Windows CNG Key Isolation Service
* Windows Common Log File System Driver
* Windows DHCP Server
* Windows Enroll Engine
* Windows Error Reporting
* Windows Group Policy
* Windows Internet Key Exchange (IKE) Protocol
* Windows Kerberos
* Windows Kernel
* Windows Layer 2 Tunneling Protocol
* Windows Lock Screen
* Windows Netlogon
* Windows Network Address Translation (NAT)
* Windows Network File System
* Windows Network Load Balancing
* Windows NTLM
* Windows PGM
* Windows Point-to-Point Protocol over Ethernet (PPPoE)
* Windows Point-to-Point Tunneling Protocol
* Windows Raw Image Extension
* Windows RDP Client
* Windows Registry
* Windows RPC API
* Windows Secure Boot
* Windows Secure Channel
* Windows Secure Socket Tunneling Protocol (SSTP)
* Windows Transport Security Layer (TLS)
* Windows Win32K
修复建议
1、Windows 自动更新
Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
* 点击“开始菜单”或按Windows快捷键,点击进入“设置”??
* 选择“更新和安全”,进入“Windows更新”(可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)??
* 选择“检查更新”,等待系统将自动检查并下载可用更新。??
* 重启计算机。安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
2、手动安装更新
对于部分不能自动更新的系统版本和应用程序,可前往Microsoft官方下载相应补丁进行更新。
下载链接:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Apr
注意:运行Windows 7、Windows Server 2008 R2或Windows Server 2008的客户需要购买扩展安全更新才能继续接收安全更新,详细信息请参阅:
https://support.microsoft.com/en-us/topic/kb4522133-procedure-to-continue-receiving-security-updates-after-extended-support-ended-on-january-10-2023-48c59204-fe67-3f42-84fc-c3c3145ff28e
参考链接
https://msrc.microsoft.com/update-guide/releaseNote/2023-Apr