Akamai 对 2023 年 10 月 Patch Tuesday 的看法
正如我们每个月所做的那样,Akamai 安全情报组研究了已修补的神秘漏洞。本月修补的 105 个 CVE 中,有 12 个为严重级别。最高 CVE 严重性评分为 9.8。另外还有三个漏洞报告为已被攻击者广泛利用。
本月的报告内容比以往要少,请重点关注 被攻击者广泛利用的漏洞。
被攻击者广泛利用的漏洞
CVE-2023-44487 :HTTP/2 快速重置攻击 (CVSS 7.5)
这是一个 拒绝服务 (DoS) 漏洞,由 Google、 Cloudflare和 Amazon共同发现和报告。该漏洞引发了有史以来规模最大的 分布式拒绝服务 (DDoS) 攻击 ,它依赖于 HTTP/2 中一项名为“快速重置”的技术,而该技术又利用了流多路复用。
抵御措施
尽管此攻击方式新颖,在协议层发动,但 Akamai 代表其客户可以利用安全产品功能(例如,速率控制、Web 应用程序防火墙、Bot Manager Premier 或 Client Reputation)来抵御此攻击,其抵御方式与抵御任何其他第七层 DDoS 攻击的方式并无不同。
使用 HTTP/2 但未受到 Akamai 保护的 Web 服务器应当安装供应商补丁,或者完全禁用 HTTP/2 以避免攻击者利用此 CVE。
Microsoft 建议的解决方法是通过两个注册表键 EnableHttp2TIs 和 EnableHttp2Cleartext来禁用 HTTP/2。以下是 Akamai Guardicore Segmentation 客户可用于在网络中各服务器上读取此值的 Osquery 查询:
SELECT name, data FROM registry
WHERE path = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\EnableHttp2TIs" or path = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\EnableHttp2Cleartext";
CVE-2023-36563 :Microsoft 写字板信息泄露漏洞 (CVSS 6.5)
利用此漏洞,攻击者可以泄露受害者的 NTLM 哈希。可通过运行精心设计的应用程序来利用此漏洞,而运行此类应用程序可通过说服受害者打开恶意文件来实现。我们尚未掌握这些凭据如何遭到泄露的完整详细信息,但很可能此攻击涉及通过 SMB 泄露这些凭据。
每个 Windows 端点上都安装了 Microsoft 写字板。
抵御措施
除了安装补丁之外,我们建议采取以下措施:
使用微分段来拦截从写字板进程 (wordpad.exe) 到互联网目标的 SMB 流量(TCP 端口 445)。
在 Windows 11 上,可通过以下组策略来禁止自动将 NTLM 哈希发送到远程位置:管理模板 > 网络 > Lanman 工作站 > 限制 NTLM。
CVE-2023-41763 :Skype for Business 特权提升漏洞 (CVSS 5.3)
最后一个是 Skype for Business 中被攻击者利用的漏洞。攻击者可以对目标 Skype for Business 服务器发出特殊调用,然后该调用会对任意(攻击者控制的)地址发出请求并泄露 IP 地址和/或端口号。此类信息有时会提供对内部网络的访问权限,从而向此漏洞提供其特权提升类。
