查看原文
其他

微软2023年2月补丁日多产品安全漏洞风险通告

QAX CERT 奇安信 CERT 2023-02-17

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



本月,微软共发布了75个漏洞的补丁程序,修复了Microsoft Office、Microsoft Exchange Server、Windows Common Log File System Driver、Windows Active Directory、Windows HTTP.sys等产品中的漏洞,其中包含3个已被用于在野攻击的0Day漏洞。值得注意的是,微软在1月10日停止了Windows 7 和 Windows 8.1 的安全更新和技术支持,建议您尽快升级系统。经研判,以下13个重要漏洞值得关注(包括个4紧急漏洞和9个重要漏洞),如下表所示:

CVE编号

风险等级

漏洞名称

利用可能

CVE-2023-23376

重要

Windows CLFS权限提升漏洞

N/Y/D

CVE-2023-21823

重要

Windows 图形组件权限提升漏洞

N/Y/D

CVE-2023-21715

重要

Microsoft Publisher安全功能绕过漏洞

N/Y/D

CVE-2023-21689

紧急

Microsoft PEAP远程代码执行漏洞

N/N/M

CVE-2023-21690

紧急

Microsoft PEAP远程代码执行漏洞

N/N/M

CVE-2023-21692

紧急

Microsoft PEAP远程代码执行漏洞

N/N/M

CVE-2023-21716

紧急

Microsoft Word 远程代码执行漏洞

N/N/L

CVE-2023-21707

重要

Microsoft Exchange Server远程代码执行漏洞

N/N/M

CVE-2023-21706

重要

Microsoft Exchange Server远程代码执行漏洞

N/N/M

CVE-2023-21529

重要

Microsoft Exchange Server远程代码执行漏洞

N/N/M

CVE-2023-21812

重要

Windows CLFS权限提升漏洞

N/N/M

CVE-2023-21822

重要

Windows 图形组件权限提升漏洞

N/N/M

CVE-2023-21688

重要

NT OS Kernel权限提升漏洞

N/N/M


注:“利用可能”字段包含三个维度(是否公开[Y/N]/是否在野利用[Y/N]/可利用性评估[D/M/L/U/NA])

简写

定义

翻译

Y

Yes

N

No

D

0-Exploitation   detected

0-检测到利用

M

1-Exploitation   more likely *

1-被利用可能性极大

L

2-Exploitation   less likely **

2-被利用可能性一般

U

3-Exploitation   unlikely ***

3-被利用可能性很小

NA

4-N/A

4-不适用


本次修复的漏洞中有3个已经检测到在野利用,包括2个权限提升漏洞(漏洞编号为CVE-2023-23376、CVE-2023-21823)以及1个安全特性绕过漏洞,漏洞编号为CVE-2023-21715:


  • CVE-2023-23376 Windows 通用日志文件系统驱动程序权限提升漏洞(N/Y/D)

  • CVE-2023-21823 Windows 图形组件权限提升漏洞(N/Y/D)

  • CVE-2023-21715 Microsoft Publisher安全功能绕过漏洞(N/Y/D)


以下11个漏洞被微软标记为“Exploitation More Likely”,这代表这些漏洞更容易被利用:


  • CVE-2023-21689 Microsoft PEAP远程代码执行漏洞(N/N/M)

  • CVE-2023-21690 Microsoft PEAP远程代码执行漏洞(N/N/M)

  • CVE-2023-21692 Microsoft PEAP远程代码执行漏洞(N/N/M)

  • CVE-2023-21707 Microsoft Exchange Server远程代码执行漏洞(N/N/M)

  • CVE-2023-21706 Microsoft Exchange Server远程代码执行漏洞(N/N/M)

  • CVE-2023-21529 Microsoft Exchange Server远程代码执行漏洞(N/N/M)

  • CVE-2023-21812 Windows 通用日志文件系统驱动程序权限提升漏洞(N/N/M)

  • CVE-2023-21822 Windows 图形组件权限提升漏洞(N/N/M)

  • CVE-2023-21688 NT OS Kernel权限提升漏洞(N/N/M)

  • CVE-2023-21818 Windows 安全通道拒绝服务漏洞(N/N/M)

  • CVE-2023-21819 Windows 安全通道拒绝服务漏洞(N/N/M)


以下漏洞由奇安信代码安全实验室、奇安信天工实验室安全研究员发现并提交,包括:

  • CVE-2023-21702 Windows iSCSI Service拒绝服务漏洞

  • CVE-2023-21694 Windows Fax Service远程代码执行漏洞

  • CVE-2023-21804 Windows Graphics Component权限提升漏洞

  • CVE-2023-21820 Windows Distributed File System (DFS) 远程代码执行漏洞

 


鉴于这些漏洞危害较大,建议客户尽快安装更新补丁。









漏洞描述

本月,微软共发布了75个漏洞的补丁程序,其中:CVE-2023-23376 Windows 通用日志文件系统驱动程序权限提升漏洞、CVE-2023-21823 Windows 图形组件权限提升漏洞、CVE-2023-21715 Microsoft Publisher安全功能绕过漏洞已检测到在野利用。以下14个漏洞被微软标记为“Exploitation Detected”或“Exploitation More Likely”,这代表这些漏洞更容易被利用:

  • CVE-2023-23376 Windows 通用日志文件系统驱动程序权限提升漏洞(N/Y/D)

  • CVE-2023-21823 Windows 图形组件权限提升漏洞(N/Y/D)

  • CVE-2023-21715 Microsoft Publisher安全功能绕过漏洞(N/Y/D)

  • CVE-2023-21689 Microsoft PEAP远程代码执行漏洞(N/N/M)

  • CVE-2023-21690 Microsoft PEAP远程代码执行漏洞(N/N/M)

  • CVE-2023-21692 Microsoft PEAP远程代码执行漏洞(N/N/M)

  • CVE-2023-21707 Microsoft Exchange Server远程代码执行漏洞(N/N/M)

  • CVE-2023-21706 Microsoft Exchange Server远程代码执行漏洞(N/N/M)

  • CVE-2023-21529 Microsoft Exchange Server远程代码执行漏洞(N/N/M)

  • CVE-2023-21812 Windows 通用日志文件系统驱动程序权限提升漏洞(N/N/M)

  • CVE-2023-21822 Windows 图形组件权限提升漏洞(N/N/M)

  • CVE-2023-21688 NT OS Kernel权限提升漏洞(N/N/M)

  • CVE-2023-21818 Windows 安全通道拒绝服务漏洞(N/N/M)

  • CVE-2023-21819 Windows 安全通道拒绝服务漏洞(N/N/M)


经研判,以下13个漏洞值得关注,漏洞的详细信息如下:


1CVE-2023-23376 Windows 通用日志文件系统驱动程序权限提升漏洞

漏洞名称

Windows 通用日志文件系统驱动程序权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2023-23376

公开状态

未公开

在野利用

已发现

漏洞描述

Windows Common Log File System Driver存在权限提升漏洞,经过身份认证的攻击者可通过执行特制程序来利用此漏洞,从而在目标系统上以SYSTEM权限执行任意代码。值得注意的是,Microsoft 威胁情报中心已监测到针对此漏洞的在野利用。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23376


2CVE-2023-21823 Windows 图形组件权限提升漏洞

漏洞名称

Windows 图形组件权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2023-21823

公开状态

未公开

在野利用

已发现

漏洞描述

Windows Graphics Component存在权限提升漏洞,允许经过身份认证的攻击者在目标系统上以SYSTEM权限执行任意代码。此漏洞已被用于在野攻击。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21823


3CVE-2023-21715 Microsoft Publisher 安全功能绕过漏洞

漏洞名称

Microsoft Publisher 安全功能绕过漏洞

漏洞类型

安全特性绕过

风险等级

重要

漏洞ID

CVE-2023-21715

公开状态

未公开

在野利用

已发现

漏洞描述

Microsoft Publisher存在安全特性绕过漏洞,攻击者可通过诱导用户从网站下载并打开特制文件来利用此漏洞,成功利用此漏洞的攻击者可以绕过用于阻止不受信任或恶意文件的Office宏策略。此漏洞已被用于在野攻击。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21715


4Microsoft 受保护的可扩展身份验证协议 (PEAP) 远程代码执行漏洞

漏洞名称

Microsoft受保护的可扩展身份验证协议 (PEAP) 远程代码执行漏洞

漏洞类型

代码执行

风险等级

紧急

漏洞ID

详见描述

公开状态

未公开

在野利用

未发现

漏洞描述

Microsoft PEAP存在多个远程代码执行漏洞(CVE-2023-21689、CVE-2023-21690、CVE-2023-21692),CVSSv3评分为9.8分,该组件用于与无线客户端建立安全连接。未经身份验证的远程攻击者可通过向目标服务器发送特制的恶意 PEAP 数据包来利用这些漏洞,成功利用这些漏洞可在目标系统上执行任意代码。微软将这些漏洞标记为“Exploitation More Likely”

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21689

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21690

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21692


5CVE-2023-21716 Microsoft Word远程代码执行漏洞

漏洞名称

Microsoft Word 远程代码执行漏洞

漏洞类型

代码执行

风险等级

紧急

漏洞ID

CVE-2023-21716

公开状态

未公开

在野利用

未发现

漏洞描述

Microsoft Word存在远程代码执行漏洞,CVSSv3评分为9.8分。远程攻击者可通过发送带有富文本格式 (RTF) 负载的电子邮件并诱导用户打开来利用此漏洞,成功利用此漏洞可在目标系统上以该用户权限执行任意代码。微软指出,预览窗格可以作为此漏洞的攻击媒介。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21716


6Microsoft Exchange Server 远程代码执行漏洞

漏洞名称

Microsoft Exchange Server 远程代码执行漏洞

漏洞类型

代码执行

风险等级

重要

漏洞ID

详见描述

公开状态

未公开

在野利用

未发现

漏洞描述

Microsoft Exchange Server存在多个远程代码执行漏洞(CVE-2023-21707、CVE-2023-21706、CVE-2023-21529)。经过身份认证的远程攻击者可利用这些漏洞在服务器账户的上下文中执行任意代码。微软将这些漏洞标记为“Exploitation More Likely”。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21707

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21706

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21529


7CVE-2023-21812 Windows 通用日志文件系统驱动程序权限提升漏洞

漏洞名称

Windows 通用日志文件系统驱动程序权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2023-21812

公开状态

未公开

在野利用

未发现

漏洞描述

Windows Common Log File System Driver存在权限提升漏洞,经过身份认证的攻击者可通过在目标系统上执行特制程序来利用此漏洞,成功利用此漏洞可提升至SYSTEM权限。微软将此漏洞标记为“Exploitation More Likely”。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21812


8CVE-2023-21822 Windows 图形组件权限提升漏洞

漏洞名称

Windows 图形组件权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2023-21822

公开状态

未公开

在野利用

未发现

漏洞描述

Windows Graphics Component存在权限提升漏洞,经过身份认证的攻击者可通过在目标系统上执行特制程序来利用此漏洞,成功利用此漏洞可提升至SYSTEM权限。微软将此漏洞标记为“Exploitation More Likely”。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21822


9CVE-2023-21688 NT OS Kernel权限提升漏洞

漏洞名称

NT OS Kernel权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2023-21688

公开状态

未公开

在野利用

未发现

漏洞描述

NT OS Kernel存在权限提升漏洞,经过身份认证的攻击者可通过在目标系统上执行特制程序来利用此漏洞,成功利用此漏洞可提升至SYSTEM权限。微软将此漏洞标记为“Exploitation More Likely”。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21688



风险等级

奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)



处置建议

使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。


也可以采用以下官方解决方案及缓解方案来防护此漏洞:

Windows自动更新

Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新
4、重启计算机,安装更新


系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。


手动安装补丁

另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的2月补丁并安装:

https://msrc.microsoft.com/update-guide/releaseNote/2023-Feb



产品线解决方案

奇安信天擎终端安全管理系统解决方案

奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户,可以将补丁库版本更新到:2023.02.15.1及以上版本,对内网终端进行补丁更新。

推荐采用自动化运维方案,如果控制中心可以连接互联网的用户场景,建议设置为自动从奇安信云端更新补丁库至2022.02.15.1版本。

控制中心补丁库更新方式:每天04:00-06:00自动升级,升级源为从互联网升级。

纯隔离网内控制中心不能访问互联网,不能下载补丁库和补丁文件,需使用离线升级工具定期导入补丁库和文件到控制中心。



参考资料

[1]https://msrc.microsoft.com/update-guide/releaseNote/2023-Feb


时间线

2023年2月15日,奇安信 CERT发布安全风险通告。


点击阅读原文到奇安信NOX-安全监测平台查询更多漏洞详情

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存