Akamai 对 2023 年 1 月 Patch Tuesday 的看法
Microsoft 2023 年 1 月 Patch Tuesday 已发布,我们 Akamai 安全研究团队着手研究了已修补的神秘漏洞。在进入新的一年之后,Microsoft 似乎干劲十足,本月修补的 CVE 数量达到去年 12 月的近两倍。Akamai 安全研究团队在今年开年的表现也可圈可点;我们披露了本月修补的两个漏洞,请参见 下文的 简短描述。
在本报告中,我们将评估漏洞的实际严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞提供现实的看法。请在每次 Patch Tuesday 后的几日留意这些见解。
这是一份持续更新的报告,随着我们的研究进展,我们将在其中增补更多信息。敬请期待!
除了 Akamai 披露的安全漏洞外,在本报告中,我们将重点关注已修复漏洞的以下方面:
Akamai 披露的安全漏洞
本着负责任的精神,我们向 Microsoft 披露了以下两个漏洞,这些漏洞在本月的补丁中得到修复。我们过段时间会提供关于这些漏洞的更多细节,确保人人都有机会修补自己的系统。我们目前可提供简短描述。
LSM 本地 EoP
CVE-2023-21771,CVSS 分数 7.0
这是 其中一个 LSM RPC 接口中的另一个漏洞。该漏洞只能在本地触发,要利用该漏洞,需要赢得一个争用条件,而这很容易实现。
并非每个 Windows 版本都存在有漏洞的功能,仅如下版本有此漏洞:
Windows Server 2022
Windows 10 版本 21H2 和 22H2
Windows 11 版本 21H2 和 22H2
Windows 第 2 层隧道协议
第 2 层隧道协议 (L2TP) 是用于支持 VPN 的隧道协议。在 Windows 中,它是远程访问服务器 (RAS) 的一部分,类似于 SSTP 和 PPP(在 前几个月已介绍过)。Windows Server 中的 Remote Access 角色允许远程客户端连接到 LAN,效果类似于 VPN。该服务器角色需要主动进行添加。
本月,该服务包含五个严重漏洞,它们的 CVSS 评分均为 8.1,这些漏洞允许远程代码执行。
其中四个漏洞(CVE-2023-21546、 CVE-2023-21679、 CVE-2023-21555 和 CVE-2023-21556)要求攻击者赢得一个争用条件以触发它们。Microsoft 安全响应中心 (MSRC) 表示,另一个 CVE ( CVE-2023-21543) 不要求赢得争用条件,但要求攻击者在利用漏洞前执行额外的步骤。
我们的 VPN 服务器不能停机。除了安装补丁之外,我们还能选择怎样的抵御措施?
由于 L2TP 用于支持 VPN 服务器,实际上不可能限制通过互联网对它进行访问。因此,除了修补之外,没有太多缓解方案。如果您确定在世界的某些地方没有员工(例如,您的全体员工都在美国),则可以根据地理 IP 来限制来自某些地理位置的访问,但这项任务也很难控制。
另外,由于所有 CVE 都需要赢得争用条件或执行额外的步骤,可以假设,利用这些漏洞发起的攻击会导致网络活动激增。通过监测网络活动,或许能就潜在的漏洞利用企图生成警报。
Windows 轻型目录访问协议
轻型目录访问协议 (LDAP) 是一种开源协议,旨在连接并查询目录服务和数据库。Active Directory 的域控制器具有一个 LDAP 服务器实现,允许依赖 LDAP 的现有程序和服务器使用现有的 AD,而不需要单独的服务器。
本月,有两个 LDAP 服务漏洞会影响到未修补的域控制器。 CVE-2023-21557 是一个拒绝服务 (DoS) 漏洞,可以在进行身份验证之前加以利用。MSRC 的公告还指出,成功利用该漏洞还可能导致信息泄露,但未说明泄露的是什么数据。 CVE-2023-21676 是一个远程代码执行漏洞,但它需要事先进行身份验证。
我们不能冒着停机的风险修补域控制器。可以通过其他方式抵御漏洞吗?
不可以。由于域控制器对于域的所有组成部分都不可或缺,实际上,不可能在不影响正常网络操作的情况下限制对它的访问。由于 CVE-2023-21676 需要经过身份验证的用户,这可能有助于 IR 团队对其进行跟踪(但无助于进行抢先预防)。
Microsoft 加密服务
“加密服务”这个名字有点隐晦,因为它可以指代操作系统的许多部分。(它只指代一个组件——CryptSvc,字面上的“加密服务”,但其文件未得到修补。)只有一个 CVE 说明了系统的哪个部分会受到影响—— CVE-2023-21561 (影响 CSRSS)。
本月有六个 CVE,三个用于本地权限提升,三个用于本地信息泄露。这些漏洞影响所有 Windows 机器(无论服务器还是台式机),因此,必须进行修补。
CVE 编号 |
影响 |
|---|---|
| CVE-2023-21561 | 权限从AppContainer提升到 SYSTEM |
| CVE-2023-21730 | 权限提升到 SYSTEM |
| CVE-2023-21551 | |
| CVE-2023-21559 | 泄露 Windows 加密密钥 |
| CVE-2023-21540 | |
| CVE-2023-21550 |
以前涵盖的服务
本月的 Patch Tuesday 中的许多 CVE 针对的是我们过去已经介绍过的系统。如果您对我们就这些服务的分析或常规建议感兴趣,建议您阅读我们之前的博文。
服务 |
CVE 编号 |
影响 |
所需访问权限 |
|---|---|---|---|
身份验证绕过 |
网络 |
||
远程代码执行 |
至少以站点成员身份进行身份验证 |
||
经过身份验证,具备页面创建权限 |
|||
远程代码执行 |
网络 |
||
信息泄漏 |
网络 |
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。
