微软超级修补！一次性修复103个漏洞，3个已遭黑客攻击

微软本月修补的3个零时差漏洞分别是涉及WordPad的信息揭露漏洞CVE-2023-36563，与Skype for Business有关的权限扩张漏洞CVE-2023-41763，以及在由Cloudflare、Google与Amazon Web Services（AWS）共同揭露的HTTP/2协议漏洞CVE-2023-44487。

其中，要成功利用CVE-2023-36563漏洞必须先登入系统，再执行一个特制的程序，其攻击途径是诱导用户开启一个恶意档案，即可揭露Windows NT LAN Manager（NTLM）杂凑密码。虽然此漏洞的CVSS风险评分并不高，且微软已计划于明年让WordPad退役，但还在使用WordPad的Windows用户仍应修补。

至于要利用Skype的CVE-2023-41763漏洞则需执行一个特制的网络通话至Skype for Business服务器上，可能导致一个对任意地址的HTTP请求，进而揭露IP地址与传输端口编号，此漏洞的CVSS风险评分亦不高，但微软警告，所外泄的信息可能被黑客用来入侵内部网络。

CVE-2023-44487无疑是近年来最严重的分布式服务阻断（DDoS）漏洞，且自今年8月底以来便持续遭到黑客利用，尽管该漏洞存在于HTTP/2协议中，但所有导入该协议的产品与服务都受到波及，除了修补产品及服务之外，微软也提出了暂时补救措施，建议用户可登录编辑程序关闭HTTP/2协议。

由于上述3个已遭滥用的漏洞都无法被用来执行任意程序，因此就算已实际遭到攻击，仍皆仅被列为重要（Important）漏洞。

而在13个重大漏洞中，就有9个属于L2TP的远程程序执行漏洞（CVE-2023-38166、CVE-2023-41765、CVE-2023-41767、CVE-2023-41768、CVE-2023-41769、CVE-2023-41770、CVE-2023-41771、CVE-2023-41773、CVE-2023-41774）。L2TP是个用来建立虚拟私有网络（VPN）的网路协议，虽然这9个分属不同的漏洞，但它们皆为竞争条件漏洞，允许未经授权的黑客借由传送一个特定的协议讯息至路由及远程存取服务，进而于RAS服务器上执行任意程序。

这次修补的漏洞中，最严重的当属CVSS风险评分高达9.8的CVE-2023-35349，是微软消息排队列（Message Queuing）的远程程序执行漏洞，不需用户互动就能展开攻击。而且这次总计有20个漏洞与讯息队列有关，当中的CVE-2023-35349与CVE-2023-36697被列为重大等级。

微软的讯息排队列（Message Queuing）技术可让异质网络、系统与不同时间执行的应用程序能够彼此通讯，应用程序可传送消息至排队列，或是自队列读取讯息。它是个必须手动启用的Windows组件，微软建议用户可检查系统所执行的服务与TCP 1801端口来判断是否启用了该服务。