微软20230314补丁星期二：2个零日漏洞和TPM2.0模块漏洞

微软公司如常地在每个月的补丁星期二，2023年3月14日（π日），释出了漏洞补丁，修正74个漏洞，包括2个零日漏洞，以及TPM2.0漏洞模块2个漏洞。

需要注意的是，这两个零日漏洞已经发现正在被黑客利用发起攻击。

笔者：国际认证信息系统审计师、软考系统分析师

第一个零日漏洞是CVE-2023-23397，在所有的Microsoft Outlook版本中均存在提权漏洞。任意攻击者均可以通过向Outlook用户发送经过特别设计的电子邮件，利用该漏洞获取用户的Net-NTLM-v2 哈希值，从而实现NTLM中继攻击，欺骗并绕过基于NTML认证的服务对用户的验证，使这些服务以为攻击者就是用户本人。

微软的CVE公告地址：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

NTLM中继攻击是指攻击者处于客户端和服务器之间，通过掌握了用户的身份验证信息而冒充用户对服务器进行恶意活动的行为。由于这种攻击方式非常强大，甚至可以在完全不具备上下文信息、不真正掌握身份验证信息的情况下实现控制活动目录域控制器，因此一直是黑客试图利用的重点手段。网络上有大量资料，这里不赘述，可参考：

https://owasp.org/www-pdf-archive/NTLM_Relay_Attacks.pdf

这个漏洞的危险之处在于完全不需要Outlook用户做任何动作，不会引起用户任何异常警惕。因此，用户几乎无法抵御利用了该漏洞的攻击行为。

之前有些类似的漏洞需要用户开启了预览窗格之类的视图界面才能奏效，而这一次的漏洞连预览窗格都不需要，收到邮件就会被盗取身份验证的哈希，所以要尽快完成修补。

另一个零日漏洞是CVE-2023-24880，Windows SmartScreen 功能存在安全特性绕过漏洞。攻击者可以利用该漏洞编制出一个能逃脱 Mark of the Web（MOTW）防御功能的恶意文档或可执行文件，不仅逃避 SmartScreen 功能的拦截，同时也绕过了其它微软产品的安全特性功能，比如 Microsoft Office 内的保护视图（Protected View）。

微软的CVE公告地址：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24880

Mark of the Web （MOTW）防御功能是对来自互联网的任何文件通过 NFTS 额外数据流（Alternate Data Stream，简称ADS，普通文件之外的附加信息，NTFS 特有的功能）进行安全区标记，从而实现区分本地文件和外来文件。

在文件被执行或被读取处理时，支持 ADS 的应用比如 SmartScreen，会检查文件的区域属性，对于区域ID=3，即来自互联网的文件会进行安全检查。该技术源于 Internet Explorer。

虽然该漏洞评分只有 CVSS 5.4 分，但微软警告说已经出现了黑客将该漏洞与其他漏洞组合后发起连锁攻击并成功攻陷用户的情况。

另据 Google TAG 威胁分析组的安全专家指出，已经发现黑客利用这个漏洞发起的攻击还同时绕过了微软在2022年12月发布的针对 CVE-2022-44698 的补丁，实际两个补丁所修补的是同一件事。

关于CVE-2022-44698，可以参考微软的CVE公告：

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-44698

TAG安全专家介绍，已知有攻击者向攻击目标发送可执行的带有 Magniber  勒索软件的MSI软件安装包，安装包用无效但特别设计的 Authenticode 签名进行签发，导致 SmartScreen 返回错误并压制绕过了正常情况下对用户发出的警告信息。

TAG安全专家认为，这属于典型的缺乏软件补丁修补经验的结果。软件开发商经常会释出一些修补程度和范围都很窄的补丁，反而为攻击者据此枚举遍历并发现其它类似的新漏洞创造了机会。

详情可以研读：

https://blog.google/threat-analysis-group/magniber-ransomware-actors-used-a-variant-of-microsoft-smartscreen-bypass/

这是在本公众号之前的漏洞分析文章：

是软件就有BUG之TPM 2.0模块库被发现两个漏洞，评分7.8和5.5

中建议密切关注的 TPM 2.0 漏洞。

微软动作还是比较快，对 Hyper-V 虚拟化环境的软件 TPM 组件释出了补丁，并且在补丁说明中指出这两个 TPM 相关漏洞不是微软自己发现，而是被第三方分配的，现在纳入到微软产品的范围内。

但需要注意的是，本次补丁微软并没有解释是对硬件TPM模块固件的缓解措施，且从修补后的tpm.sys驱动程序文件观察发现版本号并没有变化，安全中心里面显示的TPM版本号也没有变化。网管仍需要关注硬件厂家释出的固件更新。

相关CVE公告：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-1017

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-1018

本次补丁中还有如下一些严重程度较高的漏洞：

CVE-2023-23392: HTTP协议栈的远程代码执行漏洞

CVE-2023-23415: ICMP协议的远程代码执行漏洞

CVE-2023-21708: RPC运行时函数库的远程代码执行漏洞

CVE-2023-23416: Windows 加密服务的远程代码执行漏洞

CVE-2023-23411: Windows Hyper V 的拒绝服务漏洞

CVE-2023-23404: Windows 点对点隧道协议的远程代码执行漏洞

从上可见，远程代码执行漏洞确实是经久不衰的长期话题。

本站微信订阅号：

本页网址二维码：