微軟在9月的Patch Tuesday修補了59個安全漏洞,當中涉及Word的CVE-2023-36761,以及與串流服務有關的CVE-2023-36802,皆已遭到駭客利用。
其中的CVE-2023-36761屬於資訊揭露漏洞,攻擊媒介為Word的預覽窗格,成功的攻擊將會揭露 Windows New Technology LAN Manager(NTLM)雜湊。NTLM為Windows系統中用來進行身分驗證的安全協定,微軟並未說明該漏洞的攻擊場景,但Zero Day Initiative(ZDI)團隊認為,駭客很可能利用CVE-2023-36761來進行中繼攻擊,更像是個欺騙漏洞,有鑑於透過預覽窗格便能展開攻擊,意味著它不需要使用者互動,呼籲IT管理人員應將它列為優先修補漏洞。
link to https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36761
至於CVE-2023-36802則是Microsoft Streaming Service Proxy的權限擴張漏洞,成功的攻擊將允許駭客取得系統權限。
link to http://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36802
上述漏洞雖已被利用,但僅被微軟列為重要(Important)漏洞。
本月微軟修補了5個重大(Critical)漏洞,最嚴重的是涉及Internet Connection Sharing(ICS)的遠端程式攻擊漏洞CVE-2023-38148,另有3個遠端程式攻擊漏洞與Visual Studio有關,分別是CVE-2023-36792、CVE-2023-36793與CVE-2023-36796,還有一個是Microsoft Azure Kubernetes Service的權限擴張漏洞CVE-2023-29332。
ICS為Windows中的一項網路服務,允許一臺連結網際網路的Windows電腦分享網路予其它在同一區域網路上的電腦,CVE-2023-38148漏洞讓駭客只要傳送一個特製的封包至ICS服務便能展開攻擊。而駭客若能成功利用Azure Kubernetes中的CVE-2023-29332漏洞,即可取得叢集管理員權限。
而CVE-2023-36792、CVE-2023-36793與CVE-2023-36796雖然是不同的Visual Studio漏洞,但攻擊場景類似,駭客只要說服目標對象於Visual Studio中開啟一個惡意檔案就能進行攻擊,以執行任意程式。