Akamai 对 2023 年 2 月 Patch Tuesday 的看法
情人节 补丁日 到了,Microsoft 把送礼这件事做到了极致,大约修补了 80 个 CVE,其中 9 个是严重漏洞,有 5 个漏洞的 CVSS 得分高达 9.8。据称,其中三个已打过补丁的 CVE 也被 用于攻击,因此被称为“打过补丁的零日漏洞”。
正如我们每个月所做的那样,Akamai 安全情报组着手研究了已修补的神秘漏洞。
注意:本月的补丁和在 VMware ESXi 7.0.x 及以下版本上运行的、具有安全启动功能的 Windows Server 2022 虚拟机存在一个 问题 。安装 KB5022842后,它们可能无法启动。
在本报告中,我们将评估漏洞的实际严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞提供现实的看法。请在每次 Patch Tuesday 发布后的几日留意这些见解。
这是一份持续更新的报告,随着我们的研究进展,我们将在其中增补更多信息。敬请期待!
在本报告中,我们将重点关注已修复漏洞的以下方面:
被攻击者利用的漏洞
CVE-2023-21823
我们将首先介绍 Windows 图形组件中的远程代码执行 (RCE) 漏洞。虽然该漏洞用于远程利用,但 攻击媒介 以本地的形式列出。这可能意味着,这更像是一个任意代码执行 (ACE) 漏洞,需要用户与下载的文件交互。
奇怪的是,这个 CVE 还会影响到 Microsoft Office,包括 iOS 和 Android 版本。因此,该更新不仅通过 Windows Update 进行管理,还通过 Microsoft Store、Google Play 和 App Store 进行管理。如果您在任何一个商店中禁用了自动更新,请记得在您的设备上启动更新。
CVE-2023-21715
这是 Microsoft Publisher 中的一个安全绕过漏洞。具体而言,它涉及到“Web 标记”(MOTW)。通常情况下,从互联网下载的文件都有内部标记,操作系统或程序据以判断不应信任也不应自动执行这些文件(或其中的宏)。具体来说,Microsoft Publisher 过去不处理 MOTW,并允许执行从 Web 下载的文件中的宏。这一点已经通过修补此 CVE 而得到修复。安全研究人员 Haifei Li 在 Twitter上写了一份更详细的分析报告。
CVE-2023-23376
这是 Windows 通用日志文件系统驱动程序中的一个权限提升漏洞,允许攻击者获得 SYSTEM 权限。目前无法获得更多详细信息。
Microsoft 受保护的可扩展身份验证协议
受保护的 可扩展身份验证协议 (PEAP) 是一个将 可扩展身份验证协议 (EAP) 封装在 TLS 会话中的协议。EAP 用于对设备和网络的连接进行身份验证,也用于 Wi-Fi 网络身份验证。
Windows 服务器可以配置一个叫做网络策略服务器 (NPS) 的可选角色,NPS 可以用来验证和允许 EAP 和 PEAP 的网络连接请求。NPS 角色不是默认启用的,必须 手动安装和配置。根据我们的观察,只有 21% 的网络有 NPS 服务器。
由于 NPS 应当是网络的中心,同时也处理身份验证请求,因此,对它应用分段策略可能会产生问题。相反,Microsoft 表示,一种可行的抵御措施是在协议协商中不允许 PEAP,并提供了 两个 关于如何实施此措施的资料来源。
本月共有六个 CVE;三个严重 RCE(得分 9.8)和三个重要 CVE(得分 7.5):一个 RCE、一个 DoS 和一个信息绕过 CVE。
CVE 编号 |
严重性 |
基本得分 |
影响 |
|---|---|---|---|
关键 |
9.8 |
远程代码执行 |
|
重要 |
7.5 |
||
拒绝服务 |
|||
信息泄漏 |
Windows iSCSI
iSCSI 是一个用于连接 SCSI 存储设备的协议。在 Windows 中,机器具有 iSCSI 发起程序 进程和 Microsoft iSCSI 发起程序 服务。两者都不是默认运行的,都需要手动运行和配置。 根据我们的观察,只有 3% 的网络包含运行 Windows iSCSI 的机器。
本月,有一个严重 RCE 和三个 DoS CVE。虽然没有明确提及,但我们认为 CVE 指的是 Microsoft iSCSI 发起程序服务。此外,据说该 RCE 只在 32 位机器上有效。
问: 我的机器正忙着发送印有可爱动物的情人节电子卡片,所以不能给它们打补丁,也不能重新启动。在此期间,我可以通过其他某种方式保护它们吗?
幸运的是,iSCSI 服务默认不运行。因此,应该可以确定正在运行它的机器,并为这些机器创建分段策略。iSCSI 服务不应有那么多的传入连接,因此,使用微分段来限制从机器外部对服务的访问。这应该可以为您赢得一些时间,等到机器空闲时再安装补丁。
要确定带有 iSCSI 的机器,您可以搜索使用 TCP 端口 860 和 3260(默认的 iSCSI 端口)的连接。您也可以查找 Microsoft iSCSI 发起程序服务本身。
以下是对它进行的 osquery 查询:
select pid from services where display_name = "Microsoft iSCSI Initiator Service" and status="RUNNING";
此外,RCE 漏洞的常见问题解答还提到,这是通过向 iSCSI 服务发送 DHCP 请求来实现的。如果您具有网络监测能力,您可以检查您的 iSCSI 机器是否正常接收 DHCP(UDP 端口 67、68),如果没有(或仅接收限定范围的 DHCP),您也可以对其应用分段。这应该可以在打补丁之前提供额外的抵御能力。
Microsoft SQL 服务器
本月,在 Microsoft SQL 服务器中共发现了三个 RCE CVE。其中两个(基础 CVSS 评分为 8.8)针对的是可选功能 — SQL 数据质量服务 (DQS)。第三个 CVE 的 CVSS 评分为 7.8。根据我们的观察, 60% 的网络有 MSSQL 服务器,40% 的网络也安装了 DQS。
由于 SQL 服务器通常保存有敏感信息;因此应该对其进行分段,并实施访问控制限制,以防止数据盗窃事件。如果您没有这样的策略,这不失为理想的添加机会。确定您现有的 MSSQL 服务器(通过查找 MSSQL 服务,或通过查找使用 1433、1434 端口的连接)。确定现有服务器后,根据现有的流量和其他应该拥有访问权的分段(比如,IT 部门对全部数据库的访问权,或财务部门对财务数据库的访问权,等等)创建分段策略。这也是一个很好的机会,可以看到谁在恶意地访问他们不应该接触的数据库。
本月在 OLE 和 ODBC 中还有七个与 SQL 有关的 CVE。我们在以前的通告中已经介绍过这些漏洞,我们的建议没有改变(而且 CVE 似乎也类似)。有关它们的更多信息,请参见 以前涵盖的服务。
Microsoft PostScript 打印机驱动程序
PostScript 是一种用于页面布局描述的编程语言。有许多打印机(主要是用于办公/商业用途的高端打印机,而不是用于家庭用途的打印机)支持这种编程语言。
PostScript 打印机驱动程序是 Windows 中的系统组件 (pscript5.dll),它知道如何通过 PostScript 与打印机通信。根据我们的观察,大约有 30% 的网络拥有使用 PostScript 打印机驱动程序的机器。
由于 已知 攻击者会利用打印机进行入侵,因此请暂停打印情人节资料,尽快打上补丁或以其他方式保护您的打印机服务器。
CVE 编号 |
攻击媒介 |
缓解措施 |
|---|---|---|
通过身份验证的攻击者可以向共享打印机发送一个精心制作的文件。这会造成共享服务器上出现 RCE。 |
限制您的共享打印机,或在您的打印机共享服务器上执行分段,以限制对它们的未授权访问。 另外,由于攻击者必须经过身份验证,用户访问控制或检查也可以对异常行为发出警报。 |
|
攻击媒介分类为本地和 ACE。这通常意味着,用户正在打开来自互联网的内容,导致代码执行。对于这个漏洞,或许用户是在打印一个刻意制作的恶意文档。 |
对下载的文件或电子邮件文件扫描器进行控制可能有助于减轻风险。 此外,此 CVE 似乎更适合于桌面/用户机器。这些机器通常比关键服务器更容易打补丁。 |
|
根据常见问题解答,用户肯定会访问恶意打印机,最终造成堆内存泄露。 |
由于您的打印机应该被考虑在内,添加分段规则以防止对“新”打印机的访问应该可行,并且可以缓解这种风险。 |
Microsoft Word
以前涵盖的服务
本月的 Patch Tuesday 中的许多 CVE 针对的是我们过去已经介绍过的系统。如果您对我们就这些服务的分析或常规建议感兴趣,建议您阅读我们之前的博文。
服务 |
CVE 编号 |
影响 |
所需访问权限 |
|---|---|---|---|
远程代码执行 |
需要经过身份验证且具有“管理列表”权限的用户访问网络 |
||
远程代码执行 |
受害者需要通过 OLEDB 连接到一个恶意 SQL 服务器。 |
||
远程代码执行 |
受害者需要通过 ODBC 连接到一个恶意 SQL 服务器。 |
||
远程代码执行 |
网络;需要身份验证 |
||
网络;要求攻击者以管理员身份进行身份验证 |
|||
欺骗 |
网络访问和身份验证。用户还需要单击注入的链接。 |
||
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。