Akamai 对 2023 年 3 月 Patch Tuesday 的看法

远程过程调用 (RPC) 运行时中存在一个严重漏洞： CVE-2023-21708。该漏洞似乎位于 OSF_CASSOCIATION::ProcessBindAckOrNak中，该函数是 CVE-2022-26809中的漏洞函数。我们假设 CVE-2022-26809 的修补程序不完整。要触发该漏洞，攻击者必须能够强制服务器向攻击者发送 RPC 请求，因为该漏洞位于 RPC 运行时的客户端代码中。

MSRC 还建议在网络的边界防火墙处阻止 TCP 端口 135（端点映射器的 TCP 端点），作为对该漏洞的可行抵御措施。由于该漏洞位于 RPC 中，因此仅阻止该端口可能还不够（事实上，CVE-2022-26809 的常见问题解答提到该 CVE 的概念证明是使用 RPC over SMB 实现的）。我们还建议阻止其他可用于 RPC 的端口，根据经验，即用于 SMB 的 TCP 端口 445、用于 RPC 端点映射器的端口 135 以及任何临时端口，这些端口通常用作动态 RPC 端点。

此外，我们还建议限制网络中的传出端口，因为攻击发生在 RPC 运行时的客户端。对于这种情况，具有网络监测能力至关重要，因为您不希望阻止正常操作所必需的端口。

如果您必须为某些服务器打开这些端口，我们建议在这些服务器内部使用安全围栏/DMZ 策略，这样即便这些端口确实以某种方式遭到入侵，也无法用于在网络内部传播攻击活动。

除了严重的 RCE 漏洞外，我们的团队还发现了三个新的 RPC 运行时漏洞： CVE-2023-24908、 CVE-2023-24869和 CVE-2023-23405。

这些漏洞可用于实现针对所有 Windows 计算机的远程代码执行 (RCE)。这些漏洞的得分较低，因为它们需要在较长时间段内发送多个数据包。遵循负责任的披露准则，我们将在下个月分享相关技术信息。

处理 ICMP 数据包的代码中存在严重的 RCE 漏洞： CVE-2023-23415。虽然听起来很严重（因为 ICMP 应用广泛），但 Microsoft 的常见问题解答指出，必须将原始套接字绑定到 ICMP，才能利用该 CVE。由于原始套接字只能由具有高权限的用户创建，因此该漏洞可能比乍看起来更难以利用。目前尚不清楚该漏洞是否会影响 Windows 计算机的内置 ICMP 处理程序，但鉴于该 CVE 的得分和严重级别，我们认为可能会受到影响。

Microsoft 将此漏洞归类为“漏洞被利用的可能性更大”。

http.sys 驱动程序中还有另一个 CVE： CVE-2023-23410。尽管该漏洞“只是”一个经利用后可以授予 SYSTEM 权限的权限提升 (EoP) 漏洞，但也更为普遍，并且会影响大多数 Windows 版本。

本月，在 Windows 加密服务中发现一个严重漏洞： CVE-2023-23416。虽然该漏洞被归类为 RCE 漏洞，但它实际上是一个任意代码执行 (ACE) 漏洞，这意味着攻击者无法远程触发攻击，相反，受害者必须执行某些操作才能触发攻击。

在这种情况下，该漏洞的利用涉及证书导入。通过分析修补程序本身，我们可以发现该漏洞位于 NCryptUnprotectSecret调用的内部函数中，该函数被视为证书导入事件链的一部分。 

为了滥用该漏洞，攻击者会制作恶意证书，而证书一旦导入，就将触发 Windows 加密服务中易受攻击的代码路径，并导致恶意代码执行。

Microsoft 将此漏洞归类为“漏洞被利用的可能性更大”。

参考实现代码中存在两个漏洞： CVE-2023-1017 可导致越界写入，而 CVE-2023-1018 可导致越界读取。这些漏洞不仅影响 Microsoft，实际上还影响了很多依赖 TPM 2.0 参考代码的产品。这些漏洞是由 Quarkslab 研究员 Francisco Falcon 发现的，他撰写了一篇 精彩文章 来解释这些漏洞。

受影响的 Microsoft 产品是 Hyper-V、Azure（提供虚拟 TPM）及其 TPM 2.0 参考的开源实现。