Akamai 对 2023 年 11 月 Patch Tuesday 的看法

被攻击者广泛利用的漏洞

CVE-2023-36025——Windows SmartScreen (CVSS 8.8)

这是一个安全绕过漏洞，它会在打开互联网快捷方式文件 (.URL) 或指向这些文件的超链接时跳过 SmartScreen 安全警告。攻击者为了触发这个漏洞，精心设计了特殊的快捷方式文件。这不是攻击者第一次主动利用 SmartScreen 绕过漏洞。Google 威胁分析小组 (Google TAG) 之前曾检测到并报告 Magniber 勒索软件使用过 Windows SmartScreen 绕过漏洞。 

CVE-2023-36036——Windows Cloud Files Mini Filter Driver (CVSS 7.8)

这是一个能够让攻击者获取 SYSTEM 特权的特权提升漏洞。云文件迷你过滤器是云同步引擎的一部分，它提供 WinAPI 访问权限，从而与基于云的文件系统进行同步和协作。过滤器驱动程序在 cldflt.sys 文件中实施。

CVE-2023-36033——Windows DWM Core Library (CVSS 7.8)

这是另一个特权提升漏洞，但这次出现在 Windows Desktop Window Manager (DWM) 中。它负责管理屏幕上可见的窗口。自 Windows Vista 发布以来，DWM 就是 Windows 的一部分，它在 DWM.exe 进程中实施。这个漏洞主要存在于核心库 dwmcore.dll 中，该库会被加载到进程中。

Windows 实际通用多播

Windows 实际通用多播 (PGM) 是一种协议，其目的是以可靠的方式向多个网络成员传递数据包。在 Windows 上，此协议的实施被称为 可靠的多播编程。 在这次的 Patch Tuesday 中，修复了一个高危远程代码执行漏洞，其 CVSS 评分为 9.8。

自 Windows Server 2003 发布以来，PGM 就依赖于 Windows 套接字进行工作。在用户空间内，它在一个名为 wshrm.dll 的库中实施，这是用于 PGM 的 Windows Sockets 帮助程序 DLL，其中的“rm”代表 远程多播。在内核空间中，PGM 通过驱动程序 rmcast.sys 实施。

根据 Microsoft 针对 CVE 的抵御措施，必须运行消息队列服务才会使该漏洞遭到利用。该服务默认情况下并未安装，并且必须通过控制面板中的“功能”屏幕进行添加。

据我们观察， 大约 50% 的环境中存在安装并运行了消息队列服务的服务器，25% 的环境中存在安装了 PGM 的服务器。尽管在大多数数据中心，只有少数机器启用了消息队列，但我们发现某些环境中有多台服务器正在运行该项服务。

由于针对所有漏洞的攻击都不是那么复杂，我们建议尽快修补相关服务器。如果受运营连续性或其他原因限制而无法执行修补，我们建议至少采用 网络分段 策略。 

由于消息队列服务可通过端口 1801 进行访问，但有权访问的客户端不应过多 （大多数情况下都是由企业应用程序本身使用）， 因此我们建议限制对该端口和服务的任意网络访问权限。请尝试使用允许列表策略对其进行分段，同时仅将访问权限授予真正需要的机器。

Microsoft 受保护的可扩展身份验证协议 

受保护的 可扩展身份验证协议 (PEAP) 是一个将 可扩展身份验证协议 (EAP) 封装在 TLS 会话中的协议。EAP 用于对设备和网络的连接进行身份验证，也用于 Wi-Fi 网络身份验证。

Windows 服务器可以配置一个叫做网络策略服务器 (NPS) 的可选角色，NPS 可以用来验证和允许 EAP 和 PEAP 的网络连接请求。NPS 角色不是默认启用的，必须 手动安装和配置 NPS 角色。根据我们的观察，只有 21% 的网络有 NPS 服务器。

由于 NPS 应当是网络的中心，同时也应处理身份验证请求，因此，对它应用分段策略可能会产生问题。相反，Microsoft 表示，一种可行的抵御措施是在协议协商中阻止 PEAP，并提供了 两个 来源 实施此举措。

本月，修补了一个高危远程代码执行漏洞 (CVE-2023-36028)，其得分为 9.8。