Akamai 对 2023 年 12 月 Patch Tuesday 的看法
各位,这是今年的最后一个 Patch Tuesday 了。然而,Microsoft 似乎已经放假,因为这个月他们只发布了 33 个 CVE 的补丁。然而,Akamai 并没有因为假期而停止工作。我们的同事 Ben Barnea正是这个月补丁的重要参与者之一。
正如我们每个月所做的那样,Akamai 安全情报组着手研究了已修补的神秘漏洞。在本月修补的 33 个 CVE 中,有 4 个是严重漏洞(但仅有 3 个能够实施远程代码执行 [RCE]),CVSS 评分最高达到了 9.6 分。本月没有报告 CVE 被攻击者公开或广泛利用。
在本报告中,我们将评估漏洞的实际严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞为您提供现实的看法。请在每次 Patch Tuesday 后的几日留意这些见解。
这是一份持续更新的报告,随着我们的研究进展,我们将在其中增补更多信息。敬请期待!
在本月中,我们将重点关注已修复漏洞的以下方面:
Windows MSHTML 平台
这个 RCE 漏洞存在于 MSHTML 组件中,是由 Akamai 的研究员 Ben Barnea 发现的。
MSHTML 是用于 Windows 操作系统的网页渲染程序。它会开放组件对象模型 (COM) 接口,以允许程序添加网页渲染功能。Internet Explorer、Microsoft Edge 的 Internet Explorer 模式、Microsoft Outlook 和其他各种程序都使用 MSHTML 组件。
正如 Microsoft 的建议中所述,该漏洞可能被用来攻击 Outlook 客户端,并在用户 查看电子邮件之前被触发。该漏洞是一个很容易触发的内存损坏漏洞,但利用起来较为复杂。
我们将在接下来的几周中分享更多的技术细节,包括关于触发此漏洞的其他途径(除了电子邮件)的信息。
Microsoft Edge(基于 Chromium)
Microsoft Edge 是一款专有的跨平台 Web 浏览器。虽然 Microsoft 最初使用专有工具开发了 Edge 浏览器,但在 2020 年,他们决定将该浏览器完全迁移到使用 Google 的 Chromium 开源项目。
本月发现了三个与 Microsoft Edge 相关的 CVE,其中包括两个低严重程度的信息泄露漏洞,CVE-2023-38174 和 CVE-2023-36880,以及一个中等严重程度的权限提升 (EoP) 漏洞CVE-2023-35618。所有这些漏洞都需要攻击者诱导用户访问特定网站或打开链接,这通常是通过网络钓鱼攻击实施的。
但奇怪的是,尽管 EoP 漏洞被列为中等严重程度,但其 CVSS 得分却非常高,达到了 9.6 分。这种返差的原因在于触发该漏洞需要涉及非常复杂的操作。Microsoft 表示:要触发该漏洞,攻击者必须首先诱骗用户打开一个包含特制内容的网页或服务器,然后再次诱骗用户打开一个特制的文件。根据 Microsoft 的《赏金计划指南》,由于涉及多个步骤,这个过程降低了漏洞的严重程度。
Microsoft Edge 是 Windows 操作系统的默认浏览器。根据我们的观察,Microsoft Edge 在企业网络中得到了较广泛的应用,占运行浏览器设备的 52%。
Microsoft Power Platform 连接器
Microsoft Power Platform 是一套工具和产品,旨在帮助实现商业智能和应用程序开发。 连接器 是一个代理或 API 包装器,它充当底层服务与 Power Platform 产品之间的通信桥梁。
本月有一个严重 CVE, CVE-2023-36019,基本评分为 9.6。该 CVE 允许攻击者通过操纵链接、应用程序或文件来欺骗用户,使其误以为正在与合法应用程序进行交互。由于补丁说明提到了自定义连接器(您在 Microsoft 未提供可用连接器时自己构建的连接器),因此我们推测这就是漏洞所在。补丁说明还提到,为了接收 每个连接器的重定向 URI,需要更新自定义连接器。
我们的假设是, 连接器能够共享它们的重定向 URI,这使得攻击者能够欺骗连接器或目标,从而引导用户连接到错误的位置。
Microsoft 表示,公司已通过 Microsoft 365 Admin Center 或 Azure 门户中的“服务运行状况”联系了受影响的客户。
Internet Connection Sharing
Internet Connection Sharing (ICS) 是一项 Windows 服务,它使连接到互联网的计算机能够与本地网络上的其他计算机共享其互联网连接。运行 ICS 服务的计算机将为使用它的相邻计算机提供动态主机配置协议 (DHCP) 和网络地址转换 (NAT) 服务。
本月有三个 CVE,其中两个是高危 RCE 漏洞,CVSS 评分为 8.8。另一个是拒绝服务漏洞 (CVE-2023-35642),CVSS 评分为 6.5,严重程度为“重要”。
这两个高危漏洞都在 ICS 服务的 DHCP 部分。CVE-2023-35641 需要攻击者发送特制的 DHCP 报文来实施 RCE。
CVE-2023-35630 需要攻击者修改 DHCPv6 输入消息中的选项长度字段—— DHCPV6_MESSAGE_INFORMATION_REQUEST。这两个漏洞都允许攻击者在运行 ICS 服务的计算机上实施 RCE。
在现代 Windows 设备(工作站和服务器)中,ICS 默认是启用的,并且通常设置为触发启动。这意味着,当 RPC 连接到 IP NAT Helper RPC 服务器接口时,ICS 将自动启动。
您可以使用以下查询在 Akamai Guardicore Segmentation 的 Insight 功能中查找 ICS 服务及其状态:
SELECT status, start_type FROM services WHERE name='SharedAccess'
据我们观察, 27% 的环境在某些计算机上运行 ICS 服务。通常,在单个网络中,只有不到 1% 的计算机运行 ICS 服务。
以前涵盖的服务
在本月的 Patch Tuesday 中,许多 CVE 针对的是我们过去已经介绍过的系统。如果您对我们就这些服务的分析或常规建议感兴趣,建议您了解我们之前发布的 对 Patch Tuesday 的看法 博文。
服务 |
CVE 编号 |
影响 |
所需访问权限 |
|---|---|---|---|
拒绝服务 |
网络 |
||
拒绝服务 |
网络 |
||
信息泄漏 |
|||
远程代码执行 |
网络 |
||
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。您还可以关注我们的 微信公众号,了解更多实时动态。
