Akamai 对 2023 年 8 月 Patch Tuesday 的看法
正如我们每个月所做的那样,Akamai 安全情报组着手研究了已修补的神秘漏洞。
本月共发布了 73 个 CVE 以及 3 次公告。这是上月数量的一半多一点,情况不错,毕竟黑客攻击高潮即将来临,谁都没时间打补丁了,对吧?在 Microsoft Teams、Microsoft 消息队列和 Microsoft Outlook 中发现了六个严重 CVE 漏洞。另外,在 .NET Core 和 Visual Studio 中还发现了一个拒绝服务 (DoS) 漏洞 CVE-2023-38180,该漏洞已经被攻击者广泛利用。而我们自己的研究人员 Ben Barnea也发现了一个 CVE。
在本报告中,我们将重点关注已修复漏洞的以下方面:
Windows HTML 平台 (由 Akamai 报告)
.NET Core 和 Visual Studio (已被广泛利用)
在本报告中,我们将评估漏洞的实际严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞提供现实的看法。您还可以在我们的公众号上查看修补程序的快速 摘要 。请在每次 Patch Tuesday 后的几日留意这些见解。
这是一份持续更新的报告,随着研究的进展,我们可能会在其中增补更多信息。敬请期待!
由 Akamai 研究人员报告的漏洞
CVE-2023-35384 ——Windows HTML 平台 (CVSS 5.4)
尽管为这一漏洞指定的严重性较低,但它的背景和影响却十分值得一提。Ben Barnea 在自己的 5 月 Patch Tuesday 分析中发现了该漏洞,而它本月已得到修复。
最初,Microsoft 修补了 CVE-2023-23397 ,这是一种在 Outlook 中被广泛利用的权限提升 (EoP) 严重漏洞。这个漏洞使攻击者能够向受害者发送一封电子邮件,进而与攻击者控制的服务器建立 SMB 连接,从而拦截(还有可能破解或传递)NTLM 凭据。这是一种零点击漏洞,未经身份验证的攻击者无论在任何地方,都可以在互联网上加以利用。
针对 CVE-2023-23397 的修复增加了一项检查,可将路径分类为本地路径、内网路径、互联网路径等。通过提供一个特别设计的路径,可以绕过这项检查,我们在 上一篇博文中已对此作出了解释和展示。
本月的 CVE-2023-35384 仍然绕过了 Microsoft 的修复。是不是有点难懂?我们来整理一下思路:
Microsoft Outlook 中最初的 EoP 严重漏洞 |
由乌克兰计算机应急响应团队 (CERT) 报告 |
|
绕过了对 CVE-2023-23397 的修复,于 5 月得到修补 |
由 Akamai 研究人员 Ben Barnea 报告 |
|
同样绕过了对 CVE-2023-23397 的修复,于本月(8 月)得到修补 |
我们准备以一种令人惊讶的方式分享 CVE-2023-35384 的详细信息并展示其利用方法,请务必留意我们发布的消息。
被攻击者广泛利用的漏洞
CVE-2023-38180 ——.NET Core 和 Visual Studio (CVSS 7.5)
这是一种 DoS 漏洞,但本次并未就此 CVE 提供任何说明、常见问题或确认。因此,几乎无法推测其产生的根本原因。但由于攻击媒介是网络,所以还是有一些线索可循。免责声明:下一段内容纯属推测。
根据我们对本地安装的 Visual Studio 实例的测试结果,这种 CVE 漏洞似乎不会侦听传入连接(但我们确实在其进程中发现了出站连接)。因此更有可能的是,攻击者并非通过在网络上直接连接到进程来实现其攻击手段,而是向受害者发送经过某种恶意设计的文件,然后破解他们的 Visual Studio 和 .NET Core 实例。
Microsoft 消息队列
本月共修复了 Microsoft 消息队列 (MSMQ) 服务中的 11 个 漏洞。其中包括三个评分高达 9.8 的严重远程代码执行 (RCE) 漏洞、六个 DoS 漏洞,以及两个信息泄露漏洞。
MSMQ 服务是 Windows 中的一项 可选功能 ,用于在不同的应用程序之间传递消息。尽管该服务是可选的,但 Windows 的许多企业应用程序背后都使用了该服务,例如 Microsoft Exchange Server。 据我们观察,该服务安装在了将近 69% 的工作环境中,并且通常安装在不止一台机器上。
由于对 MSMQ 服务可通过端口 1801 进行访问,但有权访问的客户端不应过多 (大多数情况下都是由企业应用程序本身使用), 因此我们建议限制对该端口和服务的任意网络访问权限。 请尝试使用允许列表策略对其进行分段,同时仅将访问权限授予真正需要的机器。有关分段的帮助,可以参阅我们的博客文章 从实用角度谈谈(微)分段 (特别是 应用程序隔离 和 微分段 部分)。
CVE 编号 |
影响 |
所需访问权限 |
|---|---|---|
远程代码执行 |
网络 |
|
拒绝服务 |
||
信息泄漏 |
||
Microsoft Exchange Server
本月在 Microsoft Exchange Server 中发现了六个 CVE,其中四个允许在远程服务器上执行远程代码,而另两个则是 EoP 或欺骗型漏洞。据我们观察,大约 28% 的环境中具有内部部署的 Microsoft Exchange Server。
该 EoP CVE ( CVE-2023-21709) 实际上是达到 CVSS 评分极高 (9.8) 的 CVE,但其严重性仍然分类为“重要”,而不是“严重”。Microsoft 表示,该漏洞使攻击者能够暴力破解 Exchange 用户的密码,进而以该用户的身份登录。之所以分类为“重要”,是因为暴力破解攻击对使用复杂密码的用户不起作用。
对于这一 CVE,仅仅是修补还不足够。Microsoft 提供了一个附加脚本 CVE-2023-21709.ps1,管理员需要在安装补丁之后运行该脚本。或者也可以使用以下命令:
Clear-WebConfiguration -Filter "/system.webServer/globalModules/add[@name='TokenCacheModule']" -PSPath "IIS:\"
Microsoft 还表示,运行该脚本(或以上命令)可以代替补丁解决漏洞,但他们(也包括我们)强烈建议尽快安装补丁。
CVE 编号 |
影响 |
所需访问权限 |
|---|---|---|
远程代码执行 |
网络 |
|
邻近网络 |
||
权限提升 |
网络 |
|
欺骗 |
Microsoft Teams
Microsoft Teams 是 Microsoft 专有的通信、消息收发和视频会议平台,也是 Microsoft 365 的一部分。本月,Teams 中出现了两个严重的远程代码执行 CVE 漏洞。这两个 CVE 都会要求用户主动参加一次由攻击者安排的恶意会议。这样,攻击者就能在受害用户的工作环境中远程运行代码。
据我们观察,44% 的环境中都在运行 Microsoft Teams。
CVE 编号 |
影响 |
所需访问权限 |
|---|---|---|
远程代码执行 |
网络 |
|
以前涵盖的服务
在本月的 Patch Tuesday 中,许多 CVE 针对的是我们过去已经介绍过的系统。如果您对我们就这些服务的分析或常规建议感兴趣,建议您了解我们之前发布的 对 Patch Tuesday 的看法 博文。
服务 |
CVE 编号 |
影响 |
所需访问权限 |
|---|---|---|---|
欺骗 |
网络 |
||
信息泄漏 |
|||
远程代码执行 |
网络 |
||
任意代码执行 |
本地 |
||
信息泄漏 |
本地 |
||
