2023年的1月份的第二個(gè)周二，如期而至。微軟在 2023 年發(fā)布的第一個(gè)補(bǔ)丁星期二修復(fù)程序共修復(fù)了98 個(gè)安全漏洞，其中包括該公司表示正在被積極利用的一個(gè)漏洞。

本月，微軟發(fā)布的 98 個(gè)新補(bǔ)丁，解決了 Microsoft Windows 和 Windows 組件中的 CVE；辦公室和辦公室組件；.NET Core 和 Visual Studio Code、3D Builder、Azure Service Fabric 容器、Windows BitLocker、Windows Defender、Windows Print Spooler 組件和 Microsoft Exchange Server。

98 個(gè)問題中有 11 個(gè)被評為嚴(yán)重，87 個(gè)被評為重要，其中一個(gè)漏洞在發(fā)布時(shí)也被列為公開漏洞。另外，這家 Windows 制造商預(yù)計(jì)將為其基于 Chromium 的 Edge 瀏覽器發(fā)布更新。

受到攻擊的漏洞與CVE-2023-21674（CVSS 評分：8.8）有關(guān)，這是 Windows 高級本地過程調(diào)用 ( ALPC ) 中的一個(gè)權(quán)限提升漏洞，攻擊者可以利用該漏洞獲取 SYSTEM 權(quán)限。

“這個(gè)漏洞可能導(dǎo)致瀏覽器沙箱逃逸，”微軟在一份公告中指出，并感謝 Avast 研究人員 Jan Vojtě?ek、Milánek 和 Przemek Gmerek 報(bào)告了這個(gè)漏洞。

雖然該漏洞的詳細(xì)信息仍處于保密狀態(tài)，但成功的利用需要攻擊者已經(jīng)在主機(jī)上獲得初始感染。該缺陷也可能與 Web 瀏覽器中存在的錯(cuò)誤相結(jié)合，以突破沙箱并獲得提升的權(quán)限。

網(wǎng)絡(luò)威脅研究主管 Kev Breen沉浸式實(shí)驗(yàn)室說：“一旦建立了最初的立足點(diǎn)，攻擊者就會(huì)尋求跨網(wǎng)絡(luò)移動(dòng)或獲得更高級別的訪問權(quán)限，而這些類型的特權(quán)升級漏洞是該攻擊者劇本的關(guān)鍵部分。”

除Microsoft 發(fā)布了最新的修復(fù)和更新，Adobe 也在周二發(fā)布了更新。

Adobe 發(fā)布了四個(gè)補(bǔ)丁，解決了 Adobe Acrobat 和 Reader、InDesign、InCopy 和 Adobe Dimension 中的 29 個(gè) CVE。通過 ZDI 程序提交了總共 22 個(gè)這些錯(cuò)誤。Reader的更新修復(fù)了 15 個(gè)錯(cuò)誤，其中八個(gè)嚴(yán)重程度為嚴(yán)重。如果受影響的系統(tǒng)打開特制文件，其中最嚴(yán)重的將允許任意代碼執(zhí)行。InDesign的補(bǔ)丁修復(fù)了六個(gè)錯(cuò)誤，其中四個(gè)被評為嚴(yán)重。與 Reader 補(bǔ)丁類似，打開惡意文件可能會(huì)導(dǎo)致代碼執(zhí)行。InCopy也是如此，它還收到了六個(gè) CVE 的修復(fù)程序。維度的更新僅解決了兩個(gè) CVE，但該修復(fù)程序還包括對 SketchUp 中依賴項(xiàng)的更新。舊版本的時(shí)間戳為 2 月 22 日，而今天發(fā)布的版本時(shí)間戳為 11 月 9 日。

CVE-2023-21674 – Windows 高級本地過程調(diào)用 (ALPC) 特權(quán)提升漏洞

這是本月被列為受到主動(dòng)攻擊的漏洞之一。它允許本地攻擊者將特權(quán)從 Chromium 內(nèi)的沙盒執(zhí)行提升到內(nèi)核級執(zhí)行和完整的 SYSTEM 特權(quán)。這種類型的錯(cuò)誤通常與某種形式的代碼提取相結(jié)合，以傳播惡意軟件或勒索軟件?？紤]到 Avast 的研究人員向微軟報(bào)告了這一情況，這種情況似乎很有可能發(fā)生。

CVE-2023-21743 - Microsoft SharePoint Server 安全功能繞過漏洞

您很少看到嚴(yán)重級別的安全功能繞過 (SFB)，但這個(gè)似乎符合要求。此錯(cuò)誤可能允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者與受影響的 SharePoint 服務(wù)器建立匿名連接。系統(tǒng)管理員需要采取額外的措施來完全保護(hù)免受此漏洞的影響。要完全解決此錯(cuò)誤，您還必須觸發(fā) SharePoint 升級操作，該操作也包含在此更新中。有關(guān)如何執(zhí)行此操作的完整詳細(xì)信息，請參見公告。像這樣的情況就是為什么人們尖叫“只要修補(bǔ)它！”的原因。表明他們實(shí)際上從未需要為現(xiàn)實(shí)世界中的企業(yè)打補(bǔ)丁。

CVE-2023-21763 / CVE-2023-21764 - Microsoft Exchange Server 特權(quán)提升漏洞

這些漏洞由 ZDI 研究員 Piotr Bazyd?o 發(fā)現(xiàn)，是CVE-2022-41123補(bǔ)丁失敗的結(jié)果。因此，這些漏洞是根據(jù)我們針對不完整補(bǔ)丁導(dǎo)致的錯(cuò)誤的新時(shí)間表報(bào)告的。由于使用了硬編碼路徑，本地攻擊者可以加載他們自己的 DLL 并在 SYSTEM 級別執(zhí)行代碼。最近的一份報(bào)告顯示，有將近 70,000 臺(tái)未打補(bǔ)丁的 Exchange 服務(wù)器可通過互聯(lián)網(wǎng)訪問。如果您在本地運(yùn)行 Exchange，請快速測試和部署所有 Exchange 修復(fù)程序，并希望微軟這次能夠正確修復(fù)這些錯(cuò)誤。