微软本周Patch Tuesday修补了83项软件瑕疵,并警告2项为零时差漏洞,包含影响Outlook的重大漏洞,微软已紧急发布侦测及缓解工具。
2项零时差漏洞中,一项影响Windows版Outlook。该漏洞编号CVE-2023-23397,为权限扩张(elevation of privilege,EoP)漏洞。攻击者可发送MAPI属性包含通用命名规范(Universal Naming Convention,UNC)的恶意邮件,导致受害者连向攻击者控制的外部SMB服务器共享文件夹。这能让黑客经由取得受害者的Net-NTLMv2散列,借此发动NTLM Relay攻击,即可连到另一项服务,并冒用受害者身份完成验证访问。
微软并警告,这漏洞可以经由预览窗格预览邮件而触发,让受害者没开信也会遭到攻击。
这漏洞是由乌克兰计算机网络危机处理小组(CERT)及微软威胁情报中心共同发现,风险值达9.8。本漏洞影响所有版本Windows版Outlook,但Android、iOS、Mac及Web版Outlook则未受影响,且Microsoft 365等线上服务不支持NTLM验证,因此不受这类恶意信件影响。
微软指出,攻击该漏洞的是一个俄罗斯的黑客组织。他们相信该组织正对欧洲部分政府、交通、能源及军事单位发动精准攻击。
另一项零时差漏洞则是CVE-2023-24880,为SmartScreen安全功能绕过漏洞。攻击者可制作恶意文件,绕过Windows的Mark of the Web(MOTW)防护。MOTW防护是指当用户从网络上下载文件,Windows会在该档加入MOTW的识别码,在用户打开执行时发送SmartScreen检查并警告用户留意。最新漏洞会导致SmartScreen警告不会被触发,提高恶意程序下载机会。本漏洞风险值5.4,影响Windows 10以上PC机,以及Windows Server 2016、2019及2022。
微软强烈建议所有用户升级到最新版本软件。
微软昨日同时针对CVE-2023-23397紧急发布侦测及缓解脚本程序CVE-2023-23397 script。这项工具可以侦测是否有连到指向不明共享文件夹的电子邮件、行程表或待办事项对象。一旦侦测到就会移除或清除参数。如果未侦测到任何对象,表示用户组织应该没有受漏洞影响。