近日，安全專家建議IT團(tuán)隊?wèi)?yīng)優(yōu)先修補(bǔ)兩個零日漏洞，一個是微軟Outlook的認(rèn)證機(jī)制，另一個是web標(biāo)記的繞過。這兩個漏洞是微軟在其3月補(bǔ)丁星期二安全更新中披露的74個安全漏洞的一部分。

在一篇博文中，Automox的研究人員建議企業(yè)在24小時內(nèi)修補(bǔ)這兩個漏洞，因為攻擊者正在野外利用它們。此外，3月更新中的幾個關(guān)鍵漏洞能夠?qū)崿F(xiàn)遠(yuǎn)程代碼執(zhí)行（RCE），因此它們也是需要高度優(yōu)先修補(bǔ)的。

特權(quán)升級零日

其中一個零日是微軟Outlook中的一個關(guān)鍵的權(quán)限升級漏洞，被追蹤為CVE-2023-23397，它允許攻擊者訪問受害者的Net-NTLMv2挑戰(zhàn)-回應(yīng)認(rèn)證哈希，然后冒充用戶。

該漏洞的危險之處在于，攻擊者只需發(fā)送一封特制的電子郵件，在用戶在預(yù)覽窗口中查看該郵件之前，Outlook就會檢索并處理該郵件。

Tenable公司的高級研究工程師評論說：這是因為該漏洞是在電子郵件服務(wù)器端觸發(fā)的，這意味著在受害者查看惡意郵件之前就會被利用。攻擊者可以使用受害者的Net-NLMv2哈希值進(jìn)行攻擊，利用NTLM挑戰(zhàn)-響應(yīng)機(jī)制，讓對手以用戶身份進(jìn)行認(rèn)證。

ZDI研究員在博文中補(bǔ)充說，這使得該漏洞更像是一個認(rèn)證繞過漏洞，而不是一個權(quán)限升級問題。而且，禁用預(yù)覽窗口選項并不能減輕威脅，因為該漏洞甚至在這之前就已經(jīng)被觸發(fā)了。

安全繞過零日

微軟將第二個零日漏洞確定為CVE-2023-248，這是一個Windows SmartScreen安全功能繞過問題，攻擊者可以利用它繞過微軟用來識別用戶可能從互聯(lián)網(wǎng)上下載的文件的Mark of the Web指定。

CVE-2023-248 影響到所有運(yùn)行Windows 10及以上版本的桌面系統(tǒng)和運(yùn)行Windows Server 2016、2019和2022的系統(tǒng)。

Goettl在一份聲明中說：CVSSv3.1的得分雖然只有5.4，這可能不會引起太多企業(yè)的注意。確實，就其本身而言，CVE可能沒有那么大的威脅，但它很可能被用在一個有其他漏洞的攻擊鏈中。

其他安全漏洞

需要特別注意的一個RCE漏洞是CVE-2023-23415，它存在于網(wǎng)絡(luò)設(shè)備用來診斷通信問題的互聯(lián)網(wǎng)控制消息協(xié)議（ICMP）中。

微軟表示：攻擊者可以通過使用一個低級別的協(xié)議錯誤來遠(yuǎn)程利用這個漏洞，該錯誤在其標(biāo)題中包含一個碎片化的IP數(shù)據(jù)包，被發(fā)送到目標(biāo)機(jī)器上。該漏洞影響到多個微軟產(chǎn)品，包括Windows 10、Windows 11、Windows Server 2008、2012、2016、2019和2022。

Automox還建議企業(yè)在72小時內(nèi)解決CVE-2023-23416，即Windows加密服務(wù)協(xié)議中的一個RCE漏洞。這是因為，除其他外，它影響到所有版本的臺式機(jī)Windows 10及以上，以及從Server 2012開始的所有Windows服務(wù)器版本。

除了新漏洞的補(bǔ)丁，微軟還在3月的補(bǔ)丁周期中發(fā)布了四個之前漏洞的更新，全部來自2022年。Ivanti說，這次更新擴(kuò)大了受漏洞影響的微軟軟件和應(yīng)用程序的數(shù)量，并為它們提供了補(bǔ)丁。該安全廠商將這四個更新補(bǔ)丁列為CVE-2022-43552，CVE-2022-23257，CVE-2022-23825，以及CVE-2022-23816。