Akamai 对 2023 年 5 月 Patch Tuesday 的看法

这是 Win32k 中的一个本地权限提升漏洞，Win32k 负责处理 Windows 内核中的 Windows 子系统 — 主要是图形用户界面和窗口管理。来自 Avast 的安全研究人员检测到了该漏洞，该漏洞可用于将权限提升到 SYSTEM。

此漏洞允许攻击者绕过安全启动（安全启动旨在确保只有受信任的软件才可用于启动计算机）。它已被 BlackLotus 用来加载它的 bootkit。补丁本身并没有减轻该漏洞所带来的风险。

此外，管理员还必须更新所有 Windows 备份和可启动的介质，以及应用撤消和新策略。Microsoft 发布了 KB5025885 ，以提供关于如何部署变更的指导。

该漏洞可绕过 MapUrlToZone 函数。该函数会一个特定路径错误地解析为本地路径，但该路径其实是一个远程路径。

MapUrlToZone 用于抵御一个 严重 Outlook 漏洞 ，该漏洞在 3 月份得到了修补，因此，新漏洞允许再次利用该漏洞。

我们已经为这个问题发表了一篇 详细的文章 。

运行 SMB over QUIC 的服务器容易受到拒绝服务攻击。攻击者可以很容易地利用该漏洞，不需要进行身份验证。由于 SMB over QUIC 是一个相对较新的功能，我们预计不会有大量计算机受到攻击。

NFS 是一种网络协议，最初由 Sun Microsystems 开发，该协议允许通过网络进行远程文件访问。该协议可在 Microsoft Windows 中实施，可以将 NFS 角色添加到服务器以将其转变为 NFS 服务器。本月有三个漏洞（其中一个是严重漏洞）可以导致远程代码执行。

NFS 功能需要添加到 Windows 服务器和客户端后才能使用。它包含在 Windows Server 的 “文件和存储 服务” 服务器角色中。

NFS 通常使用端口 111（Sun RPC 的 EpMapper 端口，NFS 的早期版本通过 Sun RPC 实现）和端口 2049。通过查看各种数据中心，我们发现只有 0.1% 可能是 NFSv4 服务器，并且只有 大约一半 运行 Windows。

LDAP 是一种开源协议，旨在连接并查询目录服务和数据库。Active Directory 的域控制器具有一个 LDAP 服务器实现，允许依赖 LDAP 的现有程序和服务器使用现有的域控制器，而不需要单独的服务器。

本月，有 1 个 LDAP 服务漏洞会影响到未修补的域控制器。 CVE-2023-28283 是一个远程代码执行漏洞，可以在进行身份验证之前加以利用。

我们不能冒着停机的风险修补域控制器。可以通过其他方式抵御漏洞吗？

不可以。由于域控制器对于域的所有组成部分都不可或缺，实际上，不可能在不影响正常网络操作的情况下限制对它的访问。即使追踪 CVE-2023-28283 可能也很困难，因为它不需要身份验证。事件响应团队可以留意那些没有服务器回复的短暂 LDAP 会话。这可能表明存在攻击尝试。