Akamai 对 2023 年 7 月 Patch Tuesday 的看法

CVE-2023-32046 ：Windows MSHTML 平台 (CVSS 7.8)

此漏洞存在于 MSHTML 平台中，可以使攻击者获取被攻击用户的权限。MSHTML 是 Microsoft 的浏览器引擎。补丁说明中提到，用户必须打开专门制作的文件或者浏览到托管该文件的恶意网站才会受到攻击，因此该漏洞可能是某种类型的 Web 资源——HTML 或 JavaScript 文件。不管怎样，该漏洞都会要求用户对某种社会工程做出响应并打开某个恶意文件。本月，MSHTML 中还有两个已修补的 CVE（尚未发现有人广泛利用），您可以 在本博文的稍后部分中详细了解它们。

CVE-2023-32049 ：Windows SmartScreen (CVSS 8.8)

这是一个安全绕过漏洞，它会在打开从互联网下载的文件或本来不安全的文件时跳过 SmartScreen 安全警告。这不是攻击者第一次主动利用 SmartScreen 绕过漏洞。Google 威胁分析小组 (Google TAG) 之前曾检测到 Magniber 勒索软件使用过一个类似的漏洞 并进行了报告。

CVE-2023-36874 ：Windows Error Reporting Service (CVSS 7.8)

这是一个权限提升漏洞，它需要攻击者具有对目标机器的本地访问权限。根据补丁说明，攻击者必须能够在本地机器上创建文件夹和性能跟踪，这种情况下通常需要不易获得的受限用户权限。此 CVE 也由 Google TAG报告。

CVE-2023-35311 ：Microsoft Outlook (CVSS 8.8)

这是另外一个安全绕过漏洞，存在于 Outlook 中。此漏洞让攻击者可以在点击超链接时绕过 Outlook 的安全通知。

CVE-2023-36884 ：Office 和 Windows HTML (CVSS 8.3)

7 月 11 日，Microsoft 发布了一则公告，其中提及了一个正在被频繁利用的远程代码执行漏洞。此漏洞会影响多个 Microsoft 产品，它的基本攻击手法是引诱受害者打开恶意文档。

该漏洞正在被 RomCom 攻击者利用 ，以发起网络钓鱼活动（包括针对近期在立陶宛参加北约峰会的与会者的攻击活动）。此漏洞目前尚未被修复，但存在一些针对它的 抵御措施 。

Windows MSHTML 平台

MSHTML 是用于 Windows 操作系统的网页渲染程序。它会开放 COM 接口，以允许程序添加网页渲染功能。Internet Explorer 和 Microsoft Edge 的 Internet Explorer 模式也使用该渲染程序。除了已发现被利用的权限提升漏洞之外（请参阅“被利用的漏洞”部分），还有两个安全绕过漏洞：CVE-2023-35336 和 CVE-2023-35308。根据与这两个漏洞相关的补丁说明，看起来似乎 MSHTML 未能对特定 URL 正确验证安全中心区域。例如，它可能会将某个外部 URL 误认为是本地 URL。对于安全中心区域，我们并不陌生，因为我们的研究人员Ben Barnea 曾在 MapUrlToZone 中发现一个类似的漏洞。MapUrlToZone 功能通常用于确定某个 URL 是互联网路径、本地路径（指向机器/网络）还是其他路径。

Windows 路由和远程访问服务 (RRAS)

路由和远程访问服务 (RRAS) 是一项 Windows 服务，它让操作系统能够充当路由器，从而通过 VPN 或拨号建立站点到站点的连接。本月，在此服务中发现三个严重漏洞，它们的 CVSS 评分都高达 9.8。除了发送到服务器的专门制作的数据包会触发远程代码执行之外，补丁说明并未告诉我们很多内容。

并非所有 Windows 服务器都提供了 RRAS，该服务随远程访问角色提供，并且必须进行专门安装。 我们观察发现，大约 15% 的受监测环境中有已安装 远程访问 角色的 Windows 服务器。

远程过程调用运行时

本月，有 14 个不同的 RPC 运行时 CVE 得到了修补，其中大多数可导致拒绝服务攻击。只有一个 CVE (CVE-2023-35300) 会导致远程代码执行，并且补丁说明并未告诉我们更多其他内容。通过对补丁进行逆向处理，我们发现 Microsoft Offensive Research & Security Engineering (MORSE) 团队似乎已针对 NDR 解组引擎完成了大量工作。我们深入撰写了有关 MS-PRC 的文章，如果您想了解更多相关内容，可以在我们的 RPC 工具包中找到很多有用的文章链接和工具。