Akamai 对 2023 年 7 月 Patch Tuesday 的看法
正如我们每个月所做的那样,Akamai 安全情报组着手研究了已修补的神秘漏洞。
本次出现了 130 个 CVE,其中 9 个为严重级别。该数字几乎是上个月的两倍。严重 CVE 中有 4 个(位于 RRAS 和 MSMQ 中)的 CVSS 评分高达 9.8。还有 4 个漏洞被报告为 还被广泛利用。
在本报告中,我们将评估漏洞的实际严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞提供现实的看法。您还可以在我们的公众号上查看修补程序的快速 摘要 。请在每次 Patch Tuesday 后的几日留意这些见解。
这是一份持续更新的报告,随着我们的研究进展,我们将在其中增补更多信息。敬请期待!
在本报告中,我们将重点关注已修复漏洞的以下方面:
被攻击者利用的漏洞
CVE-2023-32046 :Windows MSHTML 平台 (CVSS 7.8)
此漏洞存在于 MSHTML 平台中,可以使攻击者获取被攻击用户的权限。MSHTML 是 Microsoft 的浏览器引擎。补丁说明中提到,用户必须打开专门制作的文件或者浏览到托管该文件的恶意网站才会受到攻击,因此该漏洞可能是某种类型的 Web 资源——HTML 或 JavaScript 文件。不管怎样,该漏洞都会要求用户对某种社会工程做出响应并打开某个恶意文件。本月,MSHTML 中还有两个已修补的 CVE(尚未发现有人广泛利用),您可以 在本博文的稍后部分中详细了解它们。
CVE-2023-32049 :Windows SmartScreen (CVSS 8.8)
这是一个安全绕过漏洞,它会在打开从互联网下载的文件或本来不安全的文件时跳过 SmartScreen 安全警告。这不是攻击者第一次主动利用 SmartScreen 绕过漏洞。Google 威胁分析小组 (Google TAG) 之前曾检测到 Magniber 勒索软件使用过一个类似的漏洞 并进行了报告。
CVE-2023-36874 :Windows Error Reporting Service (CVSS 7.8)
这是一个权限提升漏洞,它需要攻击者具有对目标机器的本地访问权限。根据补丁说明,攻击者必须能够在本地机器上创建文件夹和性能跟踪,这种情况下通常需要不易获得的受限用户权限。此 CVE 也由 Google TAG报告。
CVE-2023-35311 :Microsoft Outlook (CVSS 8.8)
这是另外一个安全绕过漏洞,存在于 Outlook 中。此漏洞让攻击者可以在点击超链接时绕过 Outlook 的安全通知。
CVE-2023-36884 :Office 和 Windows HTML (CVSS 8.3)
7 月 11 日,Microsoft 发布了一则公告,其中提及了一个正在被频繁利用的远程代码执行漏洞。此漏洞会影响多个 Microsoft 产品,它的基本攻击手法是引诱受害者打开恶意文档。
该漏洞正在被 RomCom 攻击者利用 ,以发起网络钓鱼活动(包括针对近期在立陶宛参加北约峰会的与会者的攻击活动)。此漏洞目前尚未被修复,但存在一些针对它的 抵御措施 。
Windows 第 2 层桥接网络驱动程序
第 2 层桥接网络驱动程序是 Windows 容器生态系统的一部分。该驱动程序负责 L2bridge 网络,这让容器能够直接连接到主机的物理网络。本月,在此驱动程序中发现两个漏洞:一个是 CVSS 评分 6.5 的信息泄露漏洞 (CVE-2023-32037),另一个是 CVSS 评分 8.8 的严重远程代码执行漏洞 (CVE-2023-35315)。根据 CVE 说明,该严重漏洞让攻击者能够实现客户机到主机逃逸。由于 L2bridge 让容器或虚拟器可以直接对与主机操作系统共享的物理硬件执行写入操作,因此该驱动程序中的漏洞可以导致恶意代码跳过“客户机-主机”边界。
Windows 容器生态系统以称为“容器”的可选功能提供。它不是开箱即用的,需要进行专门安装。 我们发现,大约 35% 的受监测环境中有已启用 容器 可选功能的 Windows 机器。
Windows MSHTML 平台
MSHTML 是用于 Windows 操作系统的网页渲染程序。它会开放 COM 接口,以允许程序添加网页渲染功能。Internet Explorer 和 Microsoft Edge 的 Internet Explorer 模式也使用该渲染程序。除了已发现被利用的权限提升漏洞之外(请参阅“被利用的漏洞”部分),还有两个安全绕过漏洞:CVE-2023-35336 和 CVE-2023-35308。根据与这两个漏洞相关的补丁说明,看起来似乎 MSHTML 未能对特定 URL 正确验证安全中心区域。例如,它可能会将某个外部 URL 误认为是本地 URL。对于安全中心区域,我们并不陌生,因为我们的研究人员Ben Barnea 曾在 MapUrlToZone 中发现一个类似的漏洞。MapUrlToZone 功能通常用于确定某个 URL 是互联网路径、本地路径(指向机器/网络)还是其他路径。
Windows 路由和远程访问服务 (RRAS)
路由和远程访问服务 (RRAS) 是一项 Windows 服务,它让操作系统能够充当路由器,从而通过 VPN 或拨号建立站点到站点的连接。本月,在此服务中发现三个严重漏洞,它们的 CVSS 评分都高达 9.8。除了发送到服务器的专门制作的数据包会触发远程代码执行之外,补丁说明并未告诉我们很多内容。
并非所有 Windows 服务器都提供了 RRAS,该服务随远程访问角色提供,并且必须进行专门安装。 我们观察发现,大约 15% 的受监测环境中有已安装 远程访问 角色的 Windows 服务器。
远程过程调用运行时
本月,有 14 个不同的 RPC 运行时 CVE 得到了修补,其中大多数可导致拒绝服务攻击。只有一个 CVE (CVE-2023-35300) 会导致远程代码执行,并且补丁说明并未告诉我们更多其他内容。通过对补丁进行逆向处理,我们发现 Microsoft Offensive Research & Security Engineering (MORSE) 团队似乎已针对 NDR 解组引擎完成了大量工作。我们深入撰写了有关 MS-PRC 的文章,如果您想了解更多相关内容,可以在我们的 RPC 工具包中找到很多有用的文章链接和工具。
以前涵盖的服务
在本月的 Patch Tuesday 中,许多 CVE 针对的是我们过去已经介绍过的系统。如果您对我们就这些服务的分析或常规建议感兴趣,建议您了解我们之前发布的对 Patch Tuesday 的看法博文。
服务 |
CVE 编号 |
影响 |
所需访问权限 |
---|---|---|---|
安全功能绕过 |
网络 |
||
欺骗 |
|||
远程代码执行 |
|||
拒绝服务 |
网络 |
||
权限提升 |
本地 |
||
安全功能绕过 |
网络 |
||
安全功能绕过 |
网络 |
||
远程代码执行 |
网络 |
||
拒绝服务 |
|||
远程代码执行 |
邻近网络 |
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。您也可以关注我们的 公众号 以获取更多实时更新。