微軟超級(jí)修補(bǔ)�����!一次性修復(fù)103個(gè)漏洞�,3個(gè)已遭黑客攻擊
2023年10月14日
微軟在10月Patch Tuesday中修補(bǔ)了103個(gè)安全漏洞��,內(nèi)含3個(gè)已遭到實(shí)際攻擊的零時(shí)差漏洞�,以及13個(gè)被列為重大(Critical)等級(jí)的安全漏洞,另外值得注意的是��,重大漏洞有超過一半源自于第二層隧道協(xié)議(Layer 2 Tunneling Protocol���,L2TP)��,且此次所修補(bǔ)的訊息隊(duì)列(Message Queuing)漏洞多達(dá)20個(gè)���。微軟還揭露了涉及WordPad、Skype for Business以及HTTP/2協(xié)議的零時(shí)差漏洞�,以及9個(gè)影響L2TP網(wǎng)絡(luò)協(xié)議的遠(yuǎn)程程序執(zhí)行重大漏洞。
微軟本月修補(bǔ)的3個(gè)零時(shí)差漏洞分別是涉及WordPad的信息揭露漏洞CVE-2023-36563�����,與Skype for Business有關(guān)的權(quán)限擴(kuò)張漏洞CVE-2023-41763�,以及在由Cloudflare、Google與Amazon Web Services(AWS)共同揭露的HTTP/2協(xié)議漏洞CVE-2023-44487����。
其中,要成功利用CVE-2023-36563漏洞必須先登入系統(tǒng)��,再執(zhí)行一個(gè)特制的程序����,其攻擊途徑是誘導(dǎo)用戶開啟一個(gè)惡意檔案,即可揭露Windows NT LAN Manager(NTLM)雜湊密碼�。雖然此漏洞的CVSS風(fēng)險(xiǎn)評(píng)分并不高,且微軟已計(jì)劃于明年讓W(xué)ordPad退役�,但還在使用WordPad的Windows用戶仍應(yīng)修補(bǔ)。
至于要利用Skype的CVE-2023-41763漏洞則需執(zhí)行一個(gè)特制的網(wǎng)絡(luò)通話至Skype for Business服務(wù)器上��,可能導(dǎo)致一個(gè)對(duì)任意地址的HTTP請(qǐng)求����,進(jìn)而揭露IP地址與傳輸端口編號(hào),此漏洞的CVSS風(fēng)險(xiǎn)評(píng)分亦不高��,但微軟警告,所外泄的信息可能被黑客用來入侵內(nèi)部網(wǎng)絡(luò)����。
CVE-2023-44487無疑是近年來最嚴(yán)重的分布式服務(wù)阻斷(DDoS)漏洞,且自今年8月底以來便持續(xù)遭到黑客利用�,盡管該漏洞存在于HTTP/2協(xié)議中,但所有導(dǎo)入該協(xié)議的產(chǎn)品與服務(wù)都受到波及��,除了修補(bǔ)產(chǎn)品及服務(wù)之外���,微軟也提出了暫時(shí)補(bǔ)救措施����,建議用戶可登錄編輯程序關(guān)閉HTTP/2協(xié)議��。
由于上述3個(gè)已遭濫用的漏洞都無法被用來執(zhí)行任意程序�,因此就算已實(shí)際遭到攻擊,仍皆僅被列為重要(Important)漏洞��。
而在13個(gè)重大漏洞中�,就有9個(gè)屬于L2TP的遠(yuǎn)程程序執(zhí)行漏洞(CVE-2023-38166、CVE-2023-41765�、CVE-2023-41767、CVE-2023-41768��、CVE-2023-41769、CVE-2023-41770����、CVE-2023-41771���、CVE-2023-41773����、CVE-2023-41774)�����。L2TP是個(gè)用來建立虛擬私有網(wǎng)絡(luò)(VPN)的網(wǎng)路協(xié)議�,雖然這9個(gè)分屬不同的漏洞,但它們皆為競爭條件漏洞��,允許未經(jīng)授權(quán)的黑客借由傳送一個(gè)特定的協(xié)議訊息至路由及遠(yuǎn)程存取服務(wù)��,進(jìn)而于RAS服務(wù)器上執(zhí)行任意程序�。
這次修補(bǔ)的漏洞中,最嚴(yán)重的當(dāng)屬CVSS風(fēng)險(xiǎn)評(píng)分高達(dá)9.8的CVE-2023-35349�����,是微軟消息排隊(duì)列(Message Queuing)的遠(yuǎn)程程序執(zhí)行漏洞,不需用戶互動(dòng)就能展開攻擊����。而且這次總計(jì)有20個(gè)漏洞與訊息隊(duì)列有關(guān),當(dāng)中的CVE-2023-35349與CVE-2023-36697被列為重大等級(jí)�。
微軟的訊息排隊(duì)列(Message Queuing)技術(shù)可讓異質(zhì)網(wǎng)絡(luò)、系統(tǒng)與不同時(shí)間執(zhí)行的應(yīng)用程序能夠彼此通訊�����,應(yīng)用程序可傳送消息至排隊(duì)列�����,或是自隊(duì)列讀取訊息����。它是個(gè)必須手動(dòng)啟用的Windows組件,微軟建議用戶可檢查系統(tǒng)所執(zhí)行的服務(wù)與TCP 1801端口來判斷是否啟用了該服務(wù)�����。
