首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】微軟4月多個安全漏洞

發布時間 2023-04-12


一、漏洞概述

2023年4月11日,微軟發布了4月安全更新,本次更新修復了包括1個0 day漏洞在內的97個安全漏洞(不包括Microsoft Edge漏洞),其中有7個漏洞評級為“嚴重”。

本次修復的漏洞中,漏洞類型包括特權提升漏洞、遠程代碼執行漏洞、信息泄露漏洞、拒絕服務漏洞、安全功能繞過漏洞和欺騙漏洞等。

微軟本次共修復了1個被積極利用的0 day漏洞,如下:

CVE-2023-28252 :Windows 通用日志文件系統驅動程序特權提升漏洞

Windows CLFS 驅動程序中存在越界寫入漏洞,本地低權限用戶可以通過基本日志文件(.blf 文件擴展名)的操作觸發該漏洞,成功利用該漏洞可導致本地權限提升為SYSTEM。該漏洞的CVSSv3評分為7.8,目前已發現被Nokoyawa 勒索軟件利用。

本次安全更新中評級為嚴重的7個漏洞包括:

CVE-2023-21554:Microsoft 消息隊列遠程代碼執行漏洞

該漏洞的CVSSv3評分為9.8,可以通過發送惡意制作的MSMQ 數據包到MSMQ 服務器來利用該漏洞,成功利用該漏洞可能導致在服務器端遠程執行代碼。利用該漏洞需要啟用作為Windows 組件的Windows 消息隊列服務,可以通過檢查是否有名為Message Queuing的服務在運行,以及計算機上是否偵聽TCP 端口1801。

CVE-2023-28231:DHCP Server Service 遠程代碼執行漏洞

該漏洞的CVSSv3評分為8.8,經過身份驗證的威脅者可以利用針對 DHCP 服務的特制 RPC 調用來利用該漏洞。

CVE-2023-28219/ CVE-2023-28220:二層隧道協議遠程代碼執行漏洞

該漏洞的CVSSv3評分為8.1,未經身份驗證的威脅者可以向 RAS 服務器發送惡意連接請求,這可能導致 RAS 服務器計算機上的遠程代碼執行,但利用該漏洞需要贏得競爭條件。

CVE-2023-28250:Windows Pragmatic General Multicast (PGM) 遠程代碼執行漏洞

該漏洞的CVSSv3評分為9.8,當啟用Windows消息隊列服務時,成功利用該漏洞的威脅者可以通過網絡發送特制的文件,實現遠程代碼執行,并觸發惡意代碼。利用該漏洞需要啟用作為Windows 組件的Windows 消息隊列服務,可以通過檢查是否有名為Message Queuing的服務在運行,以及計算機上是否偵聽TCP 端口1801。

CVE-2023-28232:Windows 點對點隧道協議遠程代碼執行漏洞

該漏洞的CVSSv3評分為7.5,當用戶將 Windows 客戶端連接到惡意服務器時,可能會觸發此漏洞,導致遠程代碼執行。

CVE-2023-28291:原始圖像擴展遠程代碼執行漏洞

該漏洞的CVSSv3評分為8.4,可以通過誘使本地用戶打開惡意文件/鏈接來利用該漏洞,成功利用該漏洞可能導致任意代碼執行。

此外,值得關注的漏洞還包括Microsoft Office、Word 和 Publisher 遠程代碼執行漏洞(CVE-2023-28285、CVE-2023-28311、CVE-2023-28295和CVE-2023-28287)等,只需打開惡意文檔即可利用這些漏洞,應注意修復此類漏洞。

微軟4月更新涉及的完整漏洞列表如下:

CVE

CVE 標題

嚴重程度

CVE-2023-21554

Microsoft 消息隊列遠程代碼執行漏洞

嚴重

CVE-2023-28231

DHCP   Server Service 遠程代碼執行漏洞

嚴重

CVE-2023-28219

二層隧道協議遠程代碼執行漏洞

嚴重

CVE-2023-28220

二層隧道協議遠程代碼執行漏洞

嚴重

CVE-2023-28250

Windows   Pragmatic General Multicast (PGM) 遠程代碼執行漏洞

嚴重

CVE-2023-28232

Windows 點對點隧道協議遠程代碼執行漏洞

嚴重

CVE-2023-28291

原始圖像擴展遠程代碼執行漏洞

嚴重

CVE-2023-28260

.NET DLL劫持遠程代碼執行漏洞

高危

CVE-2023-28312

Azure 機器學習信息泄露漏洞

高危

CVE-2023-28300

Azure 服務連接器安全功能繞過漏洞

高危

CVE-2023-28227

Windows 藍牙驅動程序遠程代碼執行漏洞

高危

CVE-2023-24860

Microsoft   Defender 拒絕服務漏洞

高危

CVE-2023-28314

Microsoft   Dynamics 365 (on-premises) 跨站腳本漏洞

高危

CVE-2023-28309

Microsoft   Dynamics 365 (on-premises) 跨站腳本漏洞

高危

CVE-2023-28313

Microsoft   Dynamics 365 客戶語音跨站腳本漏洞

高危

CVE-2023-24912

Windows 圖形組件特權提升漏洞

高危

CVE-2023-21769

Microsoft 消息隊列拒絕服務漏洞

高危

CVE-2023-28285

Microsoft   Office 圖形遠程代碼執行漏洞

高危

CVE-2023-28295

Microsoft   Publisher 遠程代碼執行漏洞

高危

CVE-2023-28287

Microsoft   Publisher 遠程代碼執行漏洞

高危

CVE-2023-28288

Microsoft   SharePoint Server 欺騙漏洞

高危

CVE-2023-28311

Microsoft   Word 遠程代碼執行漏洞

高危

CVE-2023-28243

Microsoft   PostScript 和 PCL6 類打印機驅動程序遠程代碼執行漏洞

高危

CVE-2023-24883

Microsoft   PostScript 和 PCL6 類打印機驅動程序信息泄露漏洞

高危

CVE-2023-24927

Microsoft   PostScript 和 PCL6 類打印機驅動程序遠程代碼執行漏洞

高危

CVE-2023-24925

Microsoft   PostScript 和 PCL6 類打印機驅動程序遠程代碼執行漏洞

高危

CVE-2023-24924

Microsoft   PostScript 和 PCL6 類打印機驅動程序遠程代碼執行漏洞

高危

CVE-2023-24885

Microsoft   PostScript 和 PCL6 類打印機驅動程序遠程代碼執行漏洞

高危

CVE-2023-24928

Microsoft   PostScript 和 PCL6 類打印機驅動程序遠程代碼執行漏洞

高危

CVE-2023-24884

Microsoft   PostScript 和 PCL6 類打印機驅動程序遠程代碼執行漏洞

高危

CVE-2023-24926

Microsoft   PostScript 和 PCL6 類打印機驅動程序遠程代碼執行漏洞

高危

CVE-2023-24929

Microsoft   PostScript 和 PCL6 類打印機驅動程序遠程代碼執行漏洞

高危

CVE-2023-24887

Microsoft   PostScript 和 PCL6 類打印機驅動程序遠程代碼執行漏洞

高危

CVE-2023-24886

Microsoft   PostScript 和 PCL6 類打印機驅動程序遠程代碼執行漏洞

高危

CVE-2023-28275

Microsoft   WDAC OLE DB provider for SQL Server遠程代碼執行漏洞

高危

CVE-2023-28256

Windows   DNS 服務器遠程代碼執行漏洞

高危

CVE-2023-28278

Windows   DNS 服務器遠程代碼執行漏洞

高危

CVE-2023-28307

Windows   DNS 服務器遠程代碼執行漏洞

高危

CVE-2023-28306

Windows   DNS 服務器遠程代碼執行漏洞

高危

CVE-2023-28223

Windows域名服務遠程代碼執行漏洞

高危

CVE-2023-28254

Windows   DNS 服務器遠程代碼執行漏洞

高危

CVE-2023-28305

Windows   DNS 服務器遠程代碼執行漏洞

高危

CVE-2023-28308

Windows   DNS 服務器遠程代碼執行漏洞

高危

CVE-2023-28255

Windows   DNS 服務器遠程代碼執行漏洞

高危

CVE-2023-28277

Windows   DNS 服務器信息泄露漏洞

高危

CVE-2023-23384

Microsoft   SQL Server 遠程代碼執行漏洞

高危

CVE-2023-23375

Microsoft   ODBC 和 OLE DB 遠程代碼執行漏洞

高危

CVE-2023-28304

Microsoft   ODBC 和 OLE DB 遠程代碼執行漏洞

高危

CVE-2023-28299

Visual   Studio 欺騙漏洞

高危

CVE-2023-28262

Visual   Studio 特權提升漏洞

高危

CVE-2023-28263

Visual   Studio 信息泄露漏洞

高危

CVE-2023-28296

Visual   Studio 遠程代碼執行漏洞

高危

CVE-2023-24893

Visual   Studio Code 遠程代碼執行漏洞

高危

CVE-2023-28302

Microsoft 消息隊列拒絕服務漏洞

高危

CVE-2023-28236

Windows 內核特權提升漏洞

高危

CVE-2023-28216

Windows 高級本地過程調用 (ALPC) 特權提升漏洞

高危

CVE-2023-28218

Windows   Ancillary Function Driver for WinSock 特權提升漏洞

高危

CVE-2023-28269

Windows 啟動管理器安全功能繞過漏洞

高危

CVE-2023-28249

Windows 啟動管理器安全功能繞過漏洞

高危

CVE-2023-28273

Windows   Clip 服務特權提升漏洞

高危

CVE-2023-28229

Windows   CNG 密鑰隔離服務特權提升漏洞

高危

CVE-2023-28266

Windows 通用日志文件系統驅動程序信息泄露漏洞

高危

CVE-2023-28252

Windows 通用日志文件系統驅動程序特權提升漏洞

高危

CVE-2023-28226

Windows 注冊引擎安全功能繞過漏洞

高危

CVE-2023-28221

Windows 錯誤報告服務特權提升漏洞

高危

CVE-2023-28276

Windows 組策略安全功能繞過漏洞

高危

CVE-2023-28238

Windows   Internet 密鑰交換 (IKE) 協議擴展遠程代碼執行漏洞

高危

CVE-2023-28244

Windows   Kerberos 特權提升漏洞

高危

CVE-2023-28271

Windows 內核內存信息泄露漏洞

高危

CVE-2023-28248

Windows 內核特權提升漏洞

高危

CVE-2023-28222

Windows 內核特權提升漏洞

高危

CVE-2023-28272

Windows 內核特權提升漏洞

高危

CVE-2023-28293

Windows 內核特權提升漏洞

高危

CVE-2023-28253

Windows 內核信息泄露漏洞

高危

CVE-2023-28237

Windows 內核遠程代碼執行漏洞

高危

CVE-2023-28298

Windows 內核拒絕服務漏洞

高危

CVE-2023-28270

Windows 鎖屏安全功能繞過漏洞

高危

CVE-2023-28235

Windows 鎖屏安全功能繞過漏洞

高危

CVE-2023-28268

Netlogon   RPC 特權提升漏洞

高危

CVE-2023-28217

Windows 網絡地址轉換 (NAT) 拒絕服務漏洞

高危

CVE-2023-28247

Windows 網絡文件系統信息泄露漏洞

高危

CVE-2023-28240

Windows 網絡負載均衡遠程代碼執行漏洞

高危

CVE-2023-28225

Windows   NTLM 特權提升漏洞

高危

CVE-2023-28224

Windows 以太網點對點協議 (PPPoE) 遠程代碼執行漏洞

高危

CVE-2023-28292

原始圖像擴展遠程代碼執行漏洞

高危

CVE-2023-28228

Windows 欺騙漏洞

高危

CVE-2023-28267

遠程桌面協議客戶端信息泄露漏洞

高危

CVE-2023-28246

Windows 注冊表特權提升漏洞

高危

CVE-2023-21729

遠程過程調用運行時信息泄露漏洞

高危

CVE-2023-21727

遠程過程調用運行時遠程代碼執行漏洞

高危

CVE-2023-28297

Windows 遠程過程調用服務 (RPCSS) 特權提升漏洞

高危

CVE-2023-24931

Windows 安全通道拒絕服務漏洞

高危

CVE-2023-28233

Windows 安全通道拒絕服務漏洞

高危

CVE-2023-28241

Windows 安全套接字隧道協議 (SSTP) 拒絕服務漏洞

高危

CVE-2023-28234

Windows 安全通道拒絕服務漏洞

高危

CVE-2023-28274

Windows   Win32k 特權提升漏洞

高危

CVE-2023-24914

Win32k 特權提升漏洞

高危

CVE-2023-28284

Microsoft   Edge(基于 Chromium)安全功能繞過漏洞

中危

CVE-2023-28301

Microsoft   Edge(基于 Chromium)篡改漏洞

低危

CVE-2023-24935

Microsoft   Edge(基于 Chromium)欺騙漏洞

低危

CVE-2023-1823

Chromium:CVE-2023-1823 在 FedCM 中實施不當

未知

CVE-2023-1810

Chromium:CVE-2023-1810 Visuals中的堆緩沖區溢出

未知

CVE-2023-1819

Chromium:CVE-2023-1819 Accessibility中的越界讀取

未知

CVE-2023-1818

Chromium:CVE-2023-1818 Vulkan 中的釋放后使用

未知

CVE-2023-1814

Chromium:CVE-2023-1814 安全瀏覽中不受信任的輸入驗證不充分

未知

CVE-2023-1821

Chromium:CVE-2023-1821 WebShare 中的實施不當

未知

CVE-2023-1811

Chromium:CVE-2023-1811 Frames 中的釋放后使用

未知

CVE-2023-1820

Chromium:CVE-2023-1820 瀏覽器歷史中的堆緩沖區溢出

未知

CVE-2023-1816

Chromium:CVE-2023-1816 畫中畫中的安全 UI 不正確

未知

CVE-2023-1815

Chromium:CVE-2023-1815 Networking APIs中的釋放后使用

未知

CVE-2023-1822

Chromium:CVE-2023-1822 導航中的安全 UI 不正確

未知

CVE-2023-1813

Chromium:CVE-2023-1813 擴展中的實施不當

未知

CVE-2023-1812

Chromium:CVE-2023-1812 DOM 綁定中的越界內存訪問

未知

CVE-2023-1817

Chromium: CVE-2023-1817 Intents中的策略執行不足

未知

 

二、影響范圍

受影響的產品/功能/服務/組件包括:

.NET Core

Azure Machine Learning

Azure Service Connector

Microsoft Bluetooth Driver

Microsoft Defender for Endpoint

Microsoft Dynamics

Microsoft Dynamics 365 Customer Voice

Microsoft Edge (Chromium-based)

Microsoft Graphics Component

Microsoft Message Queuing

Microsoft Office

Microsoft Office Publisher

Microsoft Office SharePoint

Microsoft Office Word

Microsoft PostScript Printer Driver

Microsoft Printer Drivers

Microsoft WDAC OLE DB provider for SQL

Microsoft Windows DNS

Visual Studio

Visual Studio Code

Windows Active Directory

Windows ALPC

Windows Ancillary Function Driver for WinSock

Windows Boot Manager

Windows Clip Service

Windows CNG Key Isolation Service

Windows Common Log File System Driver

Windows DHCP Server

Windows Enroll Engine

Windows Error Reporting

Windows Group Policy

Windows Internet Key Exchange (IKE) Protocol

Windows Kerberos

Windows Kernel

Windows Layer 2 Tunneling Protocol

Windows Lock Screen

Windows Netlogon

Windows Network Address Translation (NAT)

Windows Network File System

Windows Network Load Balancing

Windows NTLM

Windows PGM

Windows Point-to-Point Protocol over Ethernet (PPPoE)

Windows Point-to-Point Tunneling Protocol

Windows Raw Image Extension

Windows RDP Client

Windows Registry

Windows RPC API

Windows Secure Boot

Windows Secure Channel

Windows Secure Socket Tunneling Protocol (SSTP)

Windows Transport Security Layer (TLS)

Windows Win32K

 

三、安全措施

3.1 升級版本

目前微軟已發布相關安全更新,建議受影響的用戶盡快修復。

(一) Windows Update自動更新

Microsoft Update默認啟用,當系統檢測到可用更新時,將會自動下載更新并在下一次啟動時安裝。也可選擇通過以下步驟手動進行更新:

1、點擊“開始菜單”或按Windows快捷鍵,點擊進入“設置”

2、選擇“更新和安全”,進入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入“Windows更新”,具體步驟為“控制面板”->“系統和安全”->“Windows更新”)

3、選擇“檢查更新”,等待系統自動檢查并下載可用更新。

4、更新完成后重啟計算機,可通過進入“Windows更新”->“查看更新歷史記錄”查看是否成功安裝了更新。對于沒有成功安裝的更新,可以點擊該更新名稱進入微軟官方更新描述鏈接,點擊最新的SSU名稱并在新鏈接中點擊“Microsoft 更新目錄”,然后在新鏈接中選擇適用于目標系統的補丁進行下載并安裝。

(二) 手動安裝更新

Microsoft官方下載相應補丁進行更新。

2023年4月安全更新下載鏈接:

https://msrc.microsoft.com/update-guide/releaseNote/2023-Apr

補丁下載示例:

1.打開上述下載鏈接,點擊漏洞列表中要修復的CVE鏈接。

image.png

例1:微軟漏洞列表示例(2022年2月)

2.在微軟公告頁面底部左側【產品】選擇相應的系統類型,點擊右側【下載】處打開補丁下載鏈接。

image.png

例2:CVE-2022-21989補丁下載示例

3.點擊【安全更新】,打開補丁下載頁面,下載相應補丁并進行安裝。

image.png

例3:補丁下載界面

4.安裝完成后重啟計算機。

 

3.2 臨時措施

針對CVE-2023-28252,可參考以下鏈接獲更多漏洞信息及IoC:

https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/

3.3 通用建議

l  定期更新系統補丁,減少系統漏洞,提升服務器的安全性。

l  加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。

l  使用企業級安全產品,提升企業的網絡安全性能。

l  加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。

l  啟用強密碼策略并設置為定期修改。

3.4 參考鏈接

https://msrc.microsoft.com/update-guide/releaseNote/2023-Apr

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252

https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2023-patch-tuesday-fixes-1-zero-day-97-flaws/

 

四、版本信息

版本

日期

備注

V1.0

2023-04-12

首次發布

 

五、附錄

5.1 公司簡介

啟明星辰成立于1996年,是由留美博士嚴望佳女士創建的、擁有完全自主知識產權的信息安全高科技企業。是國內最具實力的信息安全產品、安全服務解決方案的領航企業之一。

公司總部位于北京市中關村軟件園啟明星辰大廈,公司員工6000余人,研發團隊1200余人, 技術服務團隊1300余人。在全國各省、市、自治區設立分支機構六十多個,擁有覆蓋全國的銷售體系、渠道體系和技術支持體系。公司于2010年6月23日在深圳中小板掛牌上市。(股票代碼:002439)

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

5.2 關于我們

啟明星辰安全應急響應中心已發布1000多個漏洞通告和風險預警,我們將持續跟蹤全球最新的網絡安全事件和漏洞,為企業的信息安全保駕護航。

關注我們:

image.png

上一篇 下一篇