洞少事大：微软5月补丁星期二需关注的漏洞

在所发布的这些漏洞中，7个漏洞是“严重”级别，31个是“重要”级别。虽然从历史上来看，5月份是发布修复方案更少的月份，但今天发布的补丁数量是自2021年8月以来最少得。不过，未来几个月的补丁数量应该会增长。

在这些漏洞中，一个漏洞被列为遭活跃利用，2个被列为公开已知漏洞。

CVE-2023-29336是已遭活跃利用的 Win32k 提权漏洞。而距离上一个被微软标记为活跃利用的漏洞已过去一年的时间。这种提权漏洞通常与代码执行漏洞组合用于传播恶意软件。鉴于该漏洞是由一家杀软公司报告的，因此似乎存在可能的利用场景。

CVE-2023-24932是 Secure Boot 绕过漏洞，某攻击者利用该漏洞安装 BlackLotus UEFI bootkit。

微软在公告中指出，“要利用该漏洞，对目标设备拥有物理访问权限或管理员权限的攻击者可安装受影响的引导程序策略。”UEFI bootkit 是指植入系统固件中的恶意软件，由于该恶意软件是在引导程序的初始阶段加载的，因此对在操作系统中运行的安全软件不可见。

从2022年10月开始，攻击者就已经在黑客论坛上出售 BlackLotus bootkit，并持续改进其特性。例如，3月份，ESET公司报道称该恶意软件甚至能够在完全修复的 Windows 11 操作系统上绕过 Secure Boot。

微软上个月发布了关于如何检测 BlackLotus UEFI bootkit 攻击的指南。微软在本月补丁星期二中虽然修复了该 bootkit 但并未默认启用它。微软还给出了相关缓解措施。另外，微软表示，该漏洞是对之前已修复漏洞CVE-2023-21894的绕过。

CVE-2023-29325是位于 Windows Outlook OLE 中的远程代码执行漏洞，是未遭利用的 0day 漏洞。攻击者可通过特殊构造的邮件利用该漏洞。利用该漏洞可能涉及受害者通过受影响的 Outlook 软件打开特殊构造的 RTF邮件或者受害者的 Outlook 应用显示对特殊构造邮件的预览。微软指出攻击者可利用该漏洞在受害者机器上执行远程代码。然而，攻击者必须获得竞争条件并采取更多措施才能成功利用该漏洞。虽然 Outlook 更可能成为利用向量，但其它 Office 应用程序也受影响。微软指出，用户可通过以明文形式读取所有信息的方式缓解该漏洞。

CVE-2023-24941是位于 Windows Network File System 中的远程代码执行漏洞，CVSS 评分9.8。该漏洞可导致远程未认证攻击者以提升后的权限在受影响系统上运行任意代码且无需用户交互。该漏洞的另一个有意思之处在于，该漏洞位于 NFS 版本4.1中，但 NFS 2.0或3.0不受影响。虽然用户可通过降级版本来缓解该漏洞，但微软提醒称除非用户已经安装了2022年5月CVE-2022-26937的补丁，才适合使用该缓解措施。更好的修复方法是进口应用本月发布的补丁。

CVE-2023-24955是位于微软 SharePoint 服务器中的远程代码执行漏洞。该漏洞是 STAR Labs 团队在温哥华 Pwn2Own 大赛中发现的，且被组合用于获得目标服务器的代码执行权限。虽然该漏洞要求认证，但在大赛过程中，它与一个认证绕过漏洞组合利用。而这也是真实攻击场景中可能发生的情况。虽然本月微软也发布了其它 SharePoint 修复方案，但完全解决所披露问题需要部署其它补丁。希望未来几个月我们可看到 P2wn2Own 大赛中更多漏洞的补丁。

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~