https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

新聞

Microsoft 2023 年 3 月 Patch Tuesday 修復 83 個資安漏洞,內含 2 個 0-day 漏洞

2023 / 03 / 17
編輯部
Microsoft  2023 年 3 月 Patch Tuesday 修復 83 個資安漏洞,內含 2 個 0-day 漏洞
Microsoft 日前推出 2023 年 3 月例行資安更新修補包「Patch Tuesday」,共修復多達 83 個資安漏洞,其中有 9 個是屬於「嚴重」(Critical) 危險程度的漏洞,另有 2 個 0-day 漏洞也獲得修復,這些漏洞已知遭用於攻擊活動。

本月 Patch Tuesday 修復的漏洞數量較上個月(2023 年 2 月)的 77 個資安漏洞略多一些,達 83 個;其中 9 個屬於嚴重等級的漏洞,分類上包括遠端執行任意程式碼、分散式服務阻斷 (Distributed Denial of Service, DDoS),以及權限提升類型。

以漏洞類型來區分,這次修復的資安漏洞與分類如下:
  • 權限提升漏洞:21 個;
  • 資安防護功能略過漏洞:2 個;
  • 遠端執行任意程式碼漏洞:27 個;
  • 資訊洩露漏洞:15 個;
  • 服務阻斷(Denial of Service)漏洞:4 個;
  • 假冒詐騙漏洞:10 個;
  • Edge - Chromium 漏洞:1 個。
本月修復的 0-day 漏洞共有 2 個,其中第一個是 CVE 編號為 CVE-2023-23397 的 Windows Outlook 漏洞,屬於權限提升 (Elevation of Privilege) 漏洞。Microsoft 指出駭侵者可以透過特製的 Email 誘發此漏洞,強制受害裝置連線到遠端 URL 並傳輸該機的 Windows 帳號 Net-NTLMv2 雜湊值,讓駭侵者中繼到其他系統,並以此雜湊值通過驗證,並竊取系統內特定帳號的 Email 。目前已知該 0-day 漏洞已遭駭侵者廣泛用於攻擊活動。

第二個是 CVE 編號為 CVE-2023-24880 的 Windows SmartScreen 漏洞,屬於資安防護功能略過漏洞。Microsoft 指出駭侵者可以用這個漏洞來製作惡意檔案,該檔案具備跳過  Windows Mark of the Web 的安全防護功能。
  • CVE 編號:CVE-2023-23397 等
  • 影響產品資訊:Microsoft 旗下多種軟體,包括 Windows、Office、Exchange 等。
  • 解決方案或建議措施:系統管理者與 Microsoft 用戶應立即依照指示,以最快速度套用 Patch Tuesday 與不定期發表的資安更新,以避免駭侵者利用未及更新的漏洞發動攻擊。
本文轉載自TWCERT/CC。