微軟超級(jí)修補(bǔ)����!一次性修復(fù)103個(gè)漏洞,3個(gè)已遭黑客攻擊
2023年10月14日
微軟在10月Patch Tuesday中修補(bǔ)了103個(gè)安全漏洞�����,內(nèi)含3個(gè)已遭到實(shí)際攻擊的零時(shí)差漏洞���,以及13個(gè)被列為重大(Critical)等級(jí)的安全漏洞�,另外值得注意的是����,重大漏洞有超過(guò)一半源自于第二層隧道協(xié)議(Layer 2 Tunneling Protocol,L2TP)����,且此次所修補(bǔ)的訊息隊(duì)列(Message Queuing)漏洞多達(dá)20個(gè)����。微軟還揭露了涉及WordPad�、Skype for Business以及HTTP/2協(xié)議的零時(shí)差漏洞,以及9個(gè)影響L2TP網(wǎng)絡(luò)協(xié)議的遠(yuǎn)程程序執(zhí)行重大漏洞���。
微軟本月修補(bǔ)的3個(gè)零時(shí)差漏洞分別是涉及WordPad的信息揭露漏洞CVE-2023-36563�,與Skype for Business有關(guān)的權(quán)限擴(kuò)張漏洞CVE-2023-41763����,以及在由Cloudflare、Google與Amazon Web Services(AWS)共同揭露的HTTP/2協(xié)議漏洞CVE-2023-44487��。
其中����,要成功利用CVE-2023-36563漏洞必須先登入系統(tǒng),再執(zhí)行一個(gè)特制的程序���,其攻擊途徑是誘導(dǎo)用戶開(kāi)啟一個(gè)惡意檔案����,即可揭露Windows NT LAN Manager(NTLM)雜湊密碼。雖然此漏洞的CVSS風(fēng)險(xiǎn)評(píng)分并不高��,且微軟已計(jì)劃于明年讓W(xué)ordPad退役���,但還在使用WordPad的Windows用戶仍應(yīng)修補(bǔ)。
至于要利用Skype的CVE-2023-41763漏洞則需執(zhí)行一個(gè)特制的網(wǎng)絡(luò)通話至Skype for Business服務(wù)器上�����,可能導(dǎo)致一個(gè)對(duì)任意地址的HTTP請(qǐng)求��,進(jìn)而揭露IP地址與傳輸端口編號(hào)���,此漏洞的CVSS風(fēng)險(xiǎn)評(píng)分亦不高����,但微軟警告�,所外泄的信息可能被黑客用來(lái)入侵內(nèi)部網(wǎng)絡(luò)。
CVE-2023-44487無(wú)疑是近年來(lái)最嚴(yán)重的分布式服務(wù)阻斷(DDoS)漏洞����,且自今年8月底以來(lái)便持續(xù)遭到黑客利用,盡管該漏洞存在于HTTP/2協(xié)議中��,但所有導(dǎo)入該協(xié)議的產(chǎn)品與服務(wù)都受到波及,除了修補(bǔ)產(chǎn)品及服務(wù)之外��,微軟也提出了暫時(shí)補(bǔ)救措施��,建議用戶可登錄編輯程序關(guān)閉HTTP/2協(xié)議�����。
由于上述3個(gè)已遭濫用的漏洞都無(wú)法被用來(lái)執(zhí)行任意程序���,因此就算已實(shí)際遭到攻擊����,仍皆僅被列為重要(Important)漏洞�。
而在13個(gè)重大漏洞中,就有9個(gè)屬于L2TP的遠(yuǎn)程程序執(zhí)行漏洞(CVE-2023-38166��、CVE-2023-41765���、CVE-2023-41767�����、CVE-2023-41768����、CVE-2023-41769、CVE-2023-41770���、CVE-2023-41771��、CVE-2023-41773、CVE-2023-41774)���。L2TP是個(gè)用來(lái)建立虛擬私有網(wǎng)絡(luò)(VPN)的網(wǎng)路協(xié)議�,雖然這9個(gè)分屬不同的漏洞�,但它們皆為競(jìng)爭(zhēng)條件漏洞,允許未經(jīng)授權(quán)的黑客借由傳送一個(gè)特定的協(xié)議訊息至路由及遠(yuǎn)程存取服務(wù)��,進(jìn)而于RAS服務(wù)器上執(zhí)行任意程序�����。
這次修補(bǔ)的漏洞中����,最嚴(yán)重的當(dāng)屬CVSS風(fēng)險(xiǎn)評(píng)分高達(dá)9.8的CVE-2023-35349,是微軟消息排隊(duì)列(Message Queuing)的遠(yuǎn)程程序執(zhí)行漏洞�,不需用戶互動(dòng)就能展開(kāi)攻擊���。而且這次總計(jì)有20個(gè)漏洞與訊息隊(duì)列有關(guān),當(dāng)中的CVE-2023-35349與CVE-2023-36697被列為重大等級(jí)�。
微軟的訊息排隊(duì)列(Message Queuing)技術(shù)可讓異質(zhì)網(wǎng)絡(luò)、系統(tǒng)與不同時(shí)間執(zhí)行的應(yīng)用程序能夠彼此通訊��,應(yīng)用程序可傳送消息至排隊(duì)列�����,或是自隊(duì)列讀取訊息�����。它是個(gè)必須手動(dòng)啟用的Windows組件����,微軟建議用戶可檢查系統(tǒng)所執(zhí)行的服務(wù)與TCP 1801端口來(lái)判斷是否啟用了該服務(wù)。
