近日，安全專家建議IT團隊應優先修補兩個零日漏洞，一個是微軟Outlook的認證機制，另一個是web標記的繞過。這兩個漏洞是微軟在其3月補丁星期二安全更新中披露的74個安全漏洞的一部分。

在一篇博文中，Automox的研究人員建議企業在24小時內修補這兩個漏洞，因為攻擊者正在野外利用它們。此外，3月更新中的幾個關鍵漏洞能夠實現遠程代碼執行（RCE），因此它們也是需要高度優先修補的。

特權升級零日

其中一個零日是微軟Outlook中的一個關鍵的權限升級漏洞，被追蹤為CVE-2023-23397，它允許攻擊者訪問受害者的Net-NTLMv2挑戰-回應認證哈希，然后冒充用戶。

該漏洞的危險之處在于，攻擊者只需發送一封特制的電子郵件，在用戶在預覽窗口中查看該郵件之前，Outlook就會檢索并處理該郵件。

Tenable公司的高級研究工程師評論說：這是因為該漏洞是在電子郵件服務器端觸發的，這意味著在受害者查看惡意郵件之前就會被利用。攻擊者可以使用受害者的Net-NLMv2哈希值進行攻擊，利用NTLM挑戰-響應機制，讓對手以用戶身份進行認證。

ZDI研究員在博文中補充說，這使得該漏洞更像是一個認證繞過漏洞，而不是一個權限升級問題。而且，禁用預覽窗口選項并不能減輕威脅，因為該漏洞甚至在這之前就已經被觸發了。

安全繞過零日

微軟將第二個零日漏洞確定為CVE-2023-248，這是一個Windows SmartScreen安全功能繞過問題，攻擊者可以利用它繞過微軟用來識別用戶可能從互聯網上下載的文件的Mark of the Web指定。

CVE-2023-248 影響到所有運行Windows 10及以上版本的桌面系統和運行Windows Server 2016、2019和2022的系統。

Goettl在一份聲明中說：CVSSv3.1的得分雖然只有5.4，這可能不會引起太多企業的注意。確實，就其本身而言，CVE可能沒有那么大的威脅，但它很可能被用在一個有其他漏洞的攻擊鏈中。

其他安全漏洞

需要特別注意的一個RCE漏洞是CVE-2023-23415，它存在于網絡設備用來診斷通信問題的互聯網控制消息協議（ICMP）中。

微軟表示：攻擊者可以通過使用一個低級別的協議錯誤來遠程利用這個漏洞，該錯誤在其標題中包含一個碎片化的IP數據包，被發送到目標機器上。該漏洞影響到多個微軟產品，包括Windows 10、Windows 11、Windows Server 2008、2012、2016、2019和2022。

Automox還建議企業在72小時內解決CVE-2023-23416，即Windows加密服務協議中的一個RCE漏洞。這是因為，除其他外，它影響到所有版本的臺式機Windows 10及以上，以及從Server 2012開始的所有Windows服務器版本。

除了新漏洞的補丁，微軟還在3月的補丁周期中發布了四個之前漏洞的更新，全部來自2022年。Ivanti說，這次更新擴大了受漏洞影響的微軟軟件和應用程序的數量，并為它們提供了補丁。該安全廠商將這四個更新補丁列為CVE-2022-43552，CVE-2022-23257，CVE-2022-23825，以及CVE-2022-23816。