微软发布 2023 年 1 月补丁星期二更新，警告零日漏洞利用

微软在 2023 年发布的第一个补丁星期二修复程序总共解决了 98 个安全漏洞，其中包括该公司表示正在野外积极利用的一个错误。

98 个问题中有 11 个被评为严重，87 个严重性评级为“重要”，其中一个漏洞在发布时也列为公开已知。另外，Windows制造商预计将为其基于Chromium的Edge浏览器发布更新。

受到攻击的漏洞与 CVE-2023-21674（CVSS 分数：8.8）有关，这是 Windows 高级本地过程调用 （ALPC） 中的一个权限提升缺陷，攻击者可利用该漏洞获取系统权限。“这个漏洞可能导致浏览器沙箱逃逸，”微软在一份公告中指出，Avast研究人员Jan Vojtěšek，Milánek和Przemek Gmerek报告了该漏洞。

虽然漏洞的详细信息仍处于保密状态，但成功利用此漏洞需要攻击者已经在主机上获得初始感染。该漏洞也可能与 Web 浏览器中存在的错误相结合，以突破沙盒并获得提升的权限。“一旦建立了最初的立足点，攻击者将寻求在网络上移动或获得额外的更高级别的访问，这些类型的特权升级漏洞是攻击者剧本的关键部分，”Immersive Labs网络威胁研究总监Kev Breen说。

话虽如此，由于用于修补浏览器的自动更新功能，像这样的漏洞利用链被广泛使用的机会是有限的，Tenable 的高级研究工程师 Satnam Narang 说。

还值得注意的是，美国网络安全和基础设施安全局 （CISA） 已将该漏洞添加到其已知漏洞 （KEV） 目录中，敦促联邦机构在 2023 年 1 月 31 日之前应用补丁。

更重要的是，CVE-2023-21674 是继 CVE-2022-41045、CVE-2022-41093 和 CVE-2022-41100（CVSS 分数：7.8）之后，在 ALPC（微软 Windows 内核提供的进程间通信 （IPC） 工具）中发现的第四个此类漏洞，后三个漏洞于 2022 年 11 月入。

根据 Qualys 的说法，另外两个被确定为高优先级的权限升级漏洞影响了 Microsoft Exchange Server（CVE-2023-21763 和 CVE-2023-21764，CVSS 分数：7.8），这些漏洞源于 CVE-2022-41123 的不完整补丁。“攻击者可以通过利用硬编码的文件路径以系统级权限执行代码，”Qualys漏洞和威胁研究经理Saeed Abbasi在一份声明中表示。

Microsoft 还解决了 SharePoint Server 中的安全功能绕过（CVE-2023-21743，CVSS 分数：5.3），该功能可能允许未经身份验证的攻击者绕过身份验证并建立匿名连接。这家科技巨头指出，“客户还必须触发此更新中包含的SharePoint升级操作，以保护其SharePoint农场。

1 月份的更新进一步修复了许多权限升级缺陷，包括 Windows 凭据管理器中的一个缺陷（CVE-2023-21726，CVSS 分数：7.8）和三个影响打印后台处理程序组件的缺陷（CVE-2023-21678、CVE-2023-21760 和 CVE-2023-21765）。

美国国家安全局 （NSA） 因报告 CVE-2023-21678 而受到赞誉。总的来说，微软在其最新更新中关闭的39个漏洞启用了特权提升。

排在列表之外的是 CVE-2023-21549（CVSS 分数：8.8），这是 Windows SMB 见证服务中一个众所周知的特权提升漏洞，以及影响 BitLocker 的另一个安全功能绕过实例（CVE-2023-21563，CVSS 分数：6.8）。“成功的攻击者可以绕过系统存储设备上的BitLocker设备加密功能，”微软说。“对目标具有物理访问权限的攻击者可以利用此漏洞来获取对加密数据的访问权限。

最后，Redmond 修订了有关恶意使用签名驱动程序（称为自带易受攻击的驱动程序）的指南，以包括作为 2023 年 1 月 10 日Windows安全更新的一部分发布的更新阻止列表。

CISA周二还将CVE-2022-41080（一个Exchange Server权限提升漏洞）添加到KEV目录中，此前有报道称该漏洞与CVE-2022-41082一起被链接在一起，以实现在易受攻击的系统上执行远程代码。

该漏洞被CrowdStrike代号为OWASSRF，已被Play勒索软件参与者用来破坏目标环境。微软于 2022 年 11 月修复了这些缺陷。

补丁星期二更新也随着 Windows 7、Windows 8.1 和 Windows RT 于 2023 年 1 月 10 日终止支持而到来。微软表示，它不会为Windows 8.1提供扩展安全更新（ESU）程序，而是敦促用户升级到Windows 11。该公司警告说：“在2023年1月10日之后继续使用Windows 8.1可能会增加组织面临的安全风险或影响其履行合规义务的能力。