微软修复74个安全漏洞，重点关注零日漏洞

关键要点

• 微软在本周二修复了74个安全缺陷，其中两个为已有攻击的零日漏洞。
• 修复内容包括6个关键级别漏洞和67个重要级别漏洞。
• 安全专家建议优先修补CVE-2023-23397（CVSS分数：9.8）和CVE-2023-24880（CVSS分数：5.1）这两个零日漏洞。
• 此外，多个关键的远程代码执行漏洞也需尽快修补。

微软本周二发布的安全更新中，共修复了74个安全缺陷，其中包括两个正在被实际利用的零日漏洞。六个漏洞被评定为关键级，67个被评定为重要级，另有一个被评定为中等严重性。此次安全漏洞修复是软件巨头每月一次的PatchTuesday更新的一部分。

安全专家呼吁各组织优先处理两个零日漏洞，分别被追踪为CVE-2023-23397和CVE-2023-24880，因为它们在实际中已被积极利用。

两个零日漏洞

在这两个零日漏洞中，CVE-2023-23397是一个微软Outlook欺骗漏洞，且其严重性更高。利用此漏洞可能会导致目标系统的身份验证绕过。

根据微软的，这个漏洞允许进行“新技术局域网管理器凭证窃取”，触发条件是“当攻击者发送带有扩展MAPI属性的消息并包含指向受威胁者控制的SMB（TCP445）共享的UNC路径时”。

通俗地说，这一漏洞可以在低复杂度攻击中轻松利用——所有攻击者需要做的就是发送特别构建的电子邮件，链接受害者到外部攻击者控制的UNC位置。由于该漏洞是在邮件服务器端被触发的，所以在邮件在预览窗格中显示之前就会发生利用。

来自Tenable的高级研究工程师Satnam Narang表示：“攻击者可以利用此漏洞泄露用户的Net- NTLMv2哈希值，并进行NTLM中继攻击以回归作为用户进行身份验证。”值得注意的是，该漏洞的发现归功于乌克兰计算机紧急响应小组（CERT- UA），这意味着它可能已在实际中针对乌克兰目标进行过利用。

Mandiant在周四对SC媒体表示，团队认为该漏洞已被用于近一年，旨在针对乌克兰内部和外部组织及关键基础设施，以准备可能的破坏性网络攻击，同时促进战略情报收集。

研究人员预期，国家行为者和出于经济动机的行为者将迅速“广泛采用”这一漏洞。

Mandiant情报分析负责人John Hultquist表示：“这对于国家行为者和罪犯来说都是一个绝佳的工具，他们将在短期内大赚特赚。竞赛已经开始。”

微软事件与微软威胁情报也披露了该漏洞。

第二个零日漏洞CVE-2023-24880被识别为。该漏洞可能允许对手绕过“网络标记”（Mark of the Web）防护，从而在不触发安全警告的情况下部署勒索软件。

像SmartScreen和微软Office的受保护视图这样的保护措施依赖于“网络标记”来识别可疑活动，因此绕过这些功能可能导致用户从不受信任的源下载恶意文件和应用程序。

该漏洞的发现归因于谷歌威胁分析组和安全研究员BillDemirkapi。有关此漏洞的更多详细内容，请参阅周二的。

这两个零日漏洞均已被加入 CISA 已知可利用漏洞目录。

其他需要优先修补的关键漏洞

微软还修复了多个关键的远程代码执行漏洞，均为CVSS严重性评分9.8。前三个漏洞分别影响HTTP协议栈（CVE-2023