补丁概述
2023年11月14日,微软官方发布了11月安全更新,针对63个 Microsoft CVE 和15个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含3个严重漏洞(Critical)、56个重要漏洞(Important)和4个中危漏洞(Moderate)。从漏洞影响上看,有18个远程代码执行漏洞、18个权限提升漏洞、10个欺骗漏洞、6个安全功能绕过漏洞、6个信息泄露漏洞和5个拒绝服务漏洞。
63个漏洞中,目前已有CVE-2023-36033、CVE-2023-36025和CVE-2023-36036三个漏洞发现在野利用,CVE-2023-36033、CVE-2023-36413和CVE-2023-36038三个漏洞在补丁可用前已被公开披露,有10个利用可能性较大的漏洞。
本次安全更新涉及多个Windows主流版本,包括Windows 10、Windows 11、Windows Server 2022等;涉及多款主流产品和组件,如Microsoft Edge、Microsoft Exchange Server、Windows Hyper-V等。
重点关注漏洞
在野利用和公开披露漏洞
CVE | CVSS | Tag |
CVE-2023-36033 | 7.8 | Windows DWM 核心库 |
CVE-2023-36025 | 8.8 | Windows SmartScreen |
CVE-2023-36036 | 7.8 | Windows 云文件微型过滤驱动 |
CVE-2023-36038 | 8.2 | ASP.NET |
CVE-2023-36413 | 6.5 | Microsoft Office |
CVE-2023-36033:Windows DWM 核心库权限提升漏洞,已被在野利用和公开披露。该漏洞可用于提升权限,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2023-36025:Windows SmartScreen 安全功能绕过漏洞,已被在野利用。该漏洞允许恶意 Internet 快捷方式绕过安全检查和警告,攻击者将能够绕过 Windows Defender SmartScreen 检查及其相关提示。用户必须单击特制的 Internet 快捷方式 (.URL) 或指向 Internet 快捷方式文件的超链接,才会受到攻击者的攻击。
CVE-2023-36036:Windows 云文件微型过滤驱动权限提升漏洞,已被在野利用。该漏洞可用于提升权限,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2023-36038:ASP.NET Core 拒绝服务漏洞,已被公开披露。如果取消对 IIS InProcess 托管模型上运行的 .NET 8 RC 1 的 http 请求,则攻击者可以利用此漏洞。被攻击后线程计数会增加,并且可能会出现 OutOfMemoryException。如果攻击者能够成功利用该漏洞,则该攻击可能会导致其完全丧失可用性。
CVE-2023-36413:Microsoft Office安全功能绕过漏洞,已被公开披露。攻击者必须向用户发送恶意文件并说服他们打开它才能成功攻击。此漏洞将允许攻击者绕过 Office 受保护的视图并以编辑模式而不是保护模式打开。
利用可能性较大的漏洞
CVE | CVSS | Tag |
CVE-2023-36017 | 8.8 | Windows 脚本 |
CVE-2023-36035 | 8.0 | Microsoft Exchange Server |
CVE-2023-36039 | 8.0 | Microsoft Exchange Server |
CVE-2023-36050 | 8.0 | Microsoft Exchange Server |
CVE-2023-36439 | 8.0 | Microsoft Exchange Server |
CVE-2023-36424 | 7.8 | Windows 通用日志文件系统驱动程序 |
CVE-2023-36399 | 7.1 | Windows 存储 |
CVE-2023-36394 | 7.0 | Microsoft Windows 搜索组件 |
CVE-2023-38177 | 6.1 | Microsoft Office SharePoint |
CVE-2023-36017:Windows 脚本引擎内存损坏漏洞,此漏洞影响 JScript9 脚本引擎。该漏洞要求使用受影响的 Windows 版本的用户访问被攻击者托管的特制恶意服务器或网站。攻击者无法强迫用户访问此特制的服务器共享或网站,但必须说服他们访问服务器共享或网站才能成功利用漏洞,这通常通过电子邮件或聊天消息达成。
CVE-2023-36035、CVE-2023-36039:Microsoft Exchange Server 欺骗漏洞。攻击者必须通过 LAN 访问身份验证并拥有有效 Exchange 用户的凭据,经过身份验证后攻击者可以通过使用与服务器连接的 PowerShell 远程会话来实现利用。成功利用此漏洞的攻击者可以访问用户的 Net-NTLMv2 哈希,该哈希可用作针对其他服务的 NTLM 中继攻击的基础,以验证用户身份。
CVE-2023-36050:Microsoft Exchange Server 欺骗漏洞。利用此漏洞需要攻击者获得 LAN 访问权限并获取有效 Exchange 用户的凭据。攻击者在经过身份验证后可以通过反序列化不受信任的数据,利用已知(Type 4)UnitySerializationHolder的gadget来利用此漏洞。
CVE-2023-36439:Microsoft Exchange Server 远程代码执行漏洞。攻击者需要被验证为有效的exchange用户,经过身份验证后可以通过 LAN 访问利用此漏洞。成功利用此漏洞的攻击者可以获得服务器邮箱后端的远程代码执行权限(NT AUTHORITY\SYSTEM)。运行受影响的 Microsoft Exchange 版本的客户需要下载 2023 年 11 月安全更新,并确保启用序列化数据签名功能,以免受此漏洞的影响。禁用 Powershell 序列化载荷的证书签名功能会使您的服务器容易受到已知 Exchange 漏洞的影响,并削弱对未知威胁的防护。
CVE-2023-36424:Windows 通用日志文件系统驱动程序权限提升漏洞。该漏洞可用于提升权限,攻击者可以利用此漏洞将权限从中完整性级别提升到高完整性级别。
CVE-2023-36399:Windows 存储权限提升漏洞。成功利用此漏洞的攻击者可以获得 SYSTEM 权限。此漏洞不允许泄露任何机密信息,但可能允许攻击者删除可能包含导致服务不可用的数据。
CVE-2023-36394:Windows 搜索服务权限提升漏洞。成功利用此漏洞需要攻击者赢得条件竞争,成功利用此漏洞的攻击者可以获得 SYSTEM 权限。
CVE-2023-38177:Microsoft SharePoint Server 远程代码执行漏洞。在基于网络的攻击中,经过身份验证的攻击者可以利用此漏洞在 SharePoint Server 中远程执行代码。
CVSS 3.1 Base Score高评分漏洞
CVE | CVSS | Tag |
CVE-2023-36028 | 9.8 | Windows Protected EAP(PEAP) |
CVE-2023-36397 | 9.8 | Windows Internet Connection Sharing |
CVE-2023-36400 | 8.8 | Windows HMAC 密钥派生 |
CVE-2023-36402 | 8.8 | Microsoft WDAC OLE DB provider for SQL |
CVE-2023-36437 | 8.8 | Azure DevOps |
CVE-2023-36560 | 8.8 | ASP.NET |
CVE-2023-38151 | 8.8 | Azure |
CVE-2023-36052 | 8.6 | Azure |
CVE-2023-36028:Microsoft Protected Extensible Authentication Protocol(PEAP)远程代码执行漏洞。未经身份验证的攻击者可以通过网络发送特制的恶意 PEAP 数据包来攻击 Microsoft PEAP 服务器。仅当 NPS 在 Windows Server 上运行并且配置了允许 PEAP 的网络策略时,才会与客户端协商 Microsoft PEAP。要停止使用 PEAP,用户应确保 PEAP 类型未在其网络策略中配置为允许的 EAP 类型。
CVE-2023-36397:Windows Pragmatic General Multicast(PGM)远程代码执行漏洞,被标记为严重漏洞(Critical)。当 Windows 消息队列服务运行在 PGM Server 环境中时,攻击者可以通过网络发送特制文件来实现远程代码执行并尝试触发恶意代码。Windows 消息队列服务是 Windows 组件,需要启用系统才能被此漏洞利用,用户可以检查是否有名为“消息队列”的服务正在运行,以及该计算机是否正在侦听 TCP 端口 1801。
CVE-2023-36400:Windows HMAC 密钥派生权限提升漏洞,被标记为严重漏洞(Critical)。要利用此漏洞,攻击者首先必须登录系统,然后运行特制的应用程序,利用该漏洞并控制受影响的系统。在这种情况下,可以从低权限的 Hyper-V guest执行成功的攻击,攻击者可以穿越guest的安全边界,在 Hyper-V 主机执行环境上执行代码。
CVE-2023-36402:Microsoft WDAC OLE DB provider for SQL Server 远程代码执行漏洞。攻击者可以通过欺骗连接到网络的经过身份验证的受害者使用其 SQL 客户端应用程序连接到恶意 SQL 数据库来利用此漏洞。建立连接后,服务器可以向客户端发送特制的回复,利用该漏洞并允许在用户的 SQL 客户端应用程序上下文中执行任意代码。
CVE-2023-36437:Azure DevOps 服务器远程代码执行漏洞。攻击者需要通过 Azure DevOps 服务器的身份验证,经过身份验证后可以利用整数溢出漏洞,导致任意堆写入,从而执行任意代码。
CVE-2023-36560:ASP.NET 安全功能绕过漏洞。成功利用此漏洞的攻击者能够绕过防止攻击者访问网站中的内部应用程序的安全检查。攻击者通过发送特制请求来利用此漏洞,使他们能够访问他们通常无法访问的 Web 应用程序部分。
CVE-2023-38151:Microsoft Host Integration Server 2020 远程代码执行漏洞。受害者必须安装了 Microsoft OLE DB Provider for DB2 Server Version 7.0,目标计算机才容易受到攻击。攻击者通过说服受害者连接到攻击者的恶意 DB2 服务器并执行特制的查询语句来利用此漏洞,成功利用后可能允许远程攻击者在目标计算机上执行任意代码。
CVE-2023-36052:Azure CLI REST 命令信息泄露漏洞,被标记为严重漏洞(Critical)。未经身份验证的攻击者可以搜索并发现存储在开源存储库中的日志文件中包含的凭据,成功利用此漏洞后可以从受影响的 CLI 命令创建并由 Azure DevOps 和/或 GitHub Actions 发布的日志文件中恢复纯文本密码和用户名。使用受影响的 CLI 命令的用户必须将其 Azure CLI 版本更新到 2.53.1 或更高版本,才能免受此漏洞的风险。这也适用于通过 Azure DevOps 和/或 GitHub Actions 使用这些命令创建日志文件的用户。详情见MSRC的安全告示文章:https://msrc.microsoft.com/blog/2023/11/microsoft-guidance-regarding-credentials-leaked-to-github-actions-logs-through-azure-cli
处置建议
根据微软官方指引,尽快下载安装补丁包进行修复,也可开启Windows自动更新保证补丁包的自动安装。
Microsoft 11月安全更新指引:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Nov
