【风险提示】天融信关于微软2023年11月安全更新的风险提示

0x00 背景介绍

2023年11月15日，天融信阿尔法实验室监测到微软官方发布了11月安全更新。此次更新官方发布了微软系列软件的安全补丁，共修复63个漏洞（不包含1个外部分配漏洞和本月早些时候发布的14个Edge漏洞），其中3个严重漏洞(Critical)、56个重要漏洞(Important)、4个中危漏洞(Moderate)。权限提升漏洞18个、远程代码执行漏洞18个、信息泄露漏洞6个、安全功能绕过漏洞6个、拒绝服务漏洞5个、欺骗漏洞7个、XSS漏洞3个。

本次微软安全更新涉及组件包括：Windows SmartScreen、Windows DWM Core Library、Windows Cloud Files Mini Filter Driver、Microsoft Office、Microsoft Exchange Server、Windows Kernel、Windows Hyper-V、Microsoft Windows Search Component、Windows Scripting、Windows Common Log File System Driver等多个产品和组件。

微软本次修复中，CVE-2023-36025、CVE-2023-36033、CVE-2023-36036已发现在野利用，CVE-2023-36033、CVE-2023-36038、CVE-2023-36413被公开披露。

0x01 重点漏洞描述

本次微软更新中重点漏洞的信息如下所示。

在野利用和公开披露漏洞

CVE-2023-36025：Windows SmartScreen安全功能绕过漏洞

该漏洞的CVSS3.1评分为8.8/8.2，已发现在野利用。未经身份认证的远程攻击者通过诱导用户单击特制的Internet快捷方式或指向Internet快捷方式文件的超链接来利用此漏洞，成功利用此漏洞可使攻击者绕过Windows Defender SmartScreen检查。

CVE-2023-36033：Windows DWM核心库本地权限提升漏洞

该漏洞的CVSS3.1评分为7.8/7.0，已发现在野利用，并被公开披露。经过普通用户身份认证的本地攻击者可以利用此漏洞获得受影响系统的SYSTEM权限。

CVE-2023-36036：Windows Cloud Files微过滤器驱动本地权限提升漏洞

该漏洞的CVSS3.1评分为7.8/7.2，已发现在野利用。经过普通用户身份认证的本地攻击者可以利用此漏洞获得受影响系统的SYSTEM权限。

CVE-2023-36038：ASP.NET Core拒绝服务漏洞

该漏洞的CVSS3.1评分为8.2/7.1，已被公开披露。如果取消对运行在IIS InProcess托管模型上的.NET 8 RC 1的http请求，则可以利用此漏洞。如果未经身份验证的远程攻击者能够成功利用此漏洞，则会使线程数会增加，并且可能出现内存用尽异常，最终导致可用性完全丧失。

CVE-2023-36413：Microsoft Office安全功能绕过漏洞

该漏洞的CVSS3.1评分为6.5/5.7，已被公开披露。远程攻击者通过向用户发送恶意文档并说服他们打开该文档来利用此漏洞，成功利用此漏洞可使攻击者绕过Microsoft Office的受保护的视图功能并以编辑模式打开恶意文档。

漏洞利用可能性较大的漏洞

CVE	漏洞名称	CVSS3.1
CVE-2023-36017	Windows脚本引擎内存损坏漏洞	8.8/7.7
CVE-2023-36035	Microsoft Exchange Server欺骗漏洞	8.0/7.0
CVE-2023-36039	Microsoft Exchange Server欺骗漏洞	8.0/7.0
CVE-2023-36050	Microsoft Exchange Server欺骗漏洞	8.0/7.0
CVE-2023-36439	Microsoft Exchange Server远程代码执行漏洞	8.0/7.0
CVE-2023-36394	Windows Search服务本地权限提升漏洞	7.0/6.1
CVE-2023-36399	Windows Storage本地权限提升漏洞	7.1/6.2
CVE-2023-36424	Windows通用日志文件系统驱动本地权限提升漏洞	7.8/6.8
CVE-2023-38177	Microsoft SharePoint Server远程代码执行漏洞	6.1/5.3

CVE-2023-36017：Windows脚本引擎内存损坏漏洞

Windows的JScript9脚本引擎中存在一个内存损坏漏洞。远程攻击者通过将恶意代码托管到服务器共享或网站上，并说服用户访问该服务器共享或网站来利用此漏洞，成功利用此漏洞可使攻击者在受害者系统中执行任意代码。

CVE-2023-36035、CVE-2023-36039：Microsoft Exchange Server欺骗漏洞

经过Microsoft Exchange Server普通用户身份认证的攻击者可以通过局域网与服务器建立PowerShell远程会话来利用这些漏洞，成功利用这些漏洞的攻击者可以访问用户的Net-NTLMv2哈希，该哈希可用作针对其他服务的NTLM中继攻击的基础。

CVE-2023-36050：Microsoft Exchange Server欺骗漏洞

经过Microsoft Exchange Server普通用户身份认证的攻击者可以利用已知的(Type 4) UnitySerializationHolder gadget对不受信任的数据进行反序列化，从而利用该漏洞。利用此漏洞需要攻击者获得局域网访问权限并获得有效Exchange用户的凭据。

CVE-2023-36439：Microsoft Exchange Server远程代码执行漏洞

经过Microsoft Exchange Server普通用户身份认证的攻击者可以通过局域网访问来利用此漏洞，成功利用此漏洞可使攻击者获得在服务器邮箱后端以NT AUTHORITYSYSTEM权限远程执行代码的能力。

运行受影响的Microsoft Exchange Server版本的客户需要下载2023年11月安全更新，并确保启用序列化数据签名功能，以免受此漏洞的影响。禁用Powershell序列化有效负载的证书签名会使您的服务器容易受到已知Exchange漏洞的影响，并削弱对未知威胁的防护。

CVE-2023-36394：Windows Search服务本地权限提升漏洞

经过普通身份认证的本地攻击者可以利用此漏洞获得受影响系统的SYSTEM权限，成功利用此漏洞需要攻击者获得竞争条件。

CVE-2023-36399：Windows Storage本地权限提升漏洞

经过普通身份认证的本地攻击者可以利用此漏洞获得受影响系统的SYSTEM权限，此漏洞不会泄露任何机密信息，但可以允许攻击者删除可能导致服务不可用的数据。

CVE-2023-36424：Windows通用日志文件系统驱动本地权限提升漏洞

经过普通身份认证的本地攻击者可以利用此漏洞将权限从中完整性级别提升到高完整性级别。

CVE-2023-38177：Microsoft SharePoint Server远程代码执行漏洞

经过Microsoft SharePoint Server普通用户身份认证的攻击者可以通过局域网访问来利用此漏洞，成功利用此漏洞可使攻击者在受影响SharePoint Server的上下文中远程执行代码。

高评分漏洞

CVE	漏洞名称	CVSS3.1
CVE-2023-36028	Microsoft受保护的可扩展身份验证协议(PEAP)远程代码执行漏洞	9.8/8.5
CVE-2023-36397	Windows实际通用多播协议(PGM)远程代码执行漏洞	9.8/8.5
CVE-2023-36400	Windows HMAC密钥派生本地权限提升漏洞	8.8/7.7
CVE-2023-36402	Microsoft SQL Server的WDAC OLE DB提供程序远程代码执行漏洞	8.8/7.7
CVE-2023-36437	Azure DevOps Server远程代码执行漏洞	8.8/7.7
CVE-2023-36560	ASP.NET安全功能绕过漏洞	8.8/7.7
CVE-2023-38151	Microsoft主机集成服务器2020远程代码执行漏洞	8.8/7.7

CVE-2023-36028：Microsoft受保护的可扩展身份验证协议(PEAP)远程代码执行漏洞

未经身份认证的远程攻击者可以通过网络发送特制的恶意PEAP数据包来攻击Microsoft受保护的可扩展身份验证协议(PEAP)服务器。

仅当NPS在Windows Server上运行并且配置了允许PEAP的网络策略时，才会与客户端协商Microsoft受保护的可扩展身份验证协议(PEAP)。要停止使用PEAP，客户应确保PEAP类型未在其网络策略中配置为允许的EAP类型。

CVE-2023-36397：Windows实际通用多播协议(PGM)远程代码执行漏洞

当Windows消息队列服务运行在PGM Server环境中时，攻击者可以通过网络发送特制文件来实现远程代码执行并尝试触发恶意代码。

Windows消息队列服务是一个Windows组件，需要启用该服务，才能利用此漏洞。此功能可以通过控制面板添加，您可以检查是否有一个名为Message Queuing的服务正在运行，并且机器上的TCP端口1801正在监听来查看此服务的运行状态。

CVE-2023-36400：Windows HMAC密钥派生本地权限提升漏洞

经过普通用户身份认证的本地攻击者可以在受影响系统上运行特制的应用程序来利用此漏洞，成功利用此漏洞的攻击者可以获得SYSTEM权限。

攻击者可以在低权限Hyper-V客户机系统中执行攻击，并逃逸出客户机系统的安全边界，从而在Hyper-V主机系统环境中执行任意代码。

CVE-2023-36402：Microsoft SQL Server的WDAC OLE DB提供程序远程代码执行漏洞

未经身份认证的远程攻击者可以通过欺骗经过身份认证的用户尝试通过OLEDB连接到恶意SQL服务器来利用此漏洞，这可能会导致客户端接收到恶意网络数据包，并允许攻击者在用户SQL客户端上远程执行代码。

CVE-2023-36437：Azure DevOps Server远程代码执行漏洞

经过Azure DevOps Server普通身份认证的远程攻击者可以利用整数溢出漏洞造成任意堆写入，从而远程执行任意代码。

CVE-2023-36560：ASP.NET安全功能绕过漏洞

攻击者可以通过发送特制请求来利用此漏洞，使他们能够访问他们通常无法访问的Web应用程序部分，成功利用此漏洞可以使攻击者绕过防止攻击者访问网站中的内部应用程序的安全检查。

CVE-2023-38151：Microsoft主机集成服务器2020远程代码执行漏洞

远程攻击者可以诱导受害者连接到攻击者的恶意DB2服务器并执行特制查询来利用此漏洞，成功利用此漏洞可能允许远程攻击者在目标计算机上执行任意代码。

0x02 影响版本

影响多个主流版本的Windows，多个主流版本的Microsoft系列软件。

0x03 修复建议

Windows自动更新

Windows系统默认启用Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”。

2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。