微軟超級修補�!一次性修復103個漏洞,3個已遭黑客攻擊
2023年10月14日
微軟在10月Patch Tuesday中修補了103個安全漏洞��,內含3個已遭到實際攻擊的零時差漏洞�,以及13個被列為重大(Critical)等級的安全漏洞,另外值得注意的是�����,重大漏洞有超過一半源自于第二層隧道協議(Layer 2 Tunneling Protocol��,L2TP)�����,且此次所修補的訊息隊列(Message Queuing)漏洞多達20個。微軟還揭露了涉及WordPad、Skype for Business以及HTTP/2協議的零時差漏洞,以及9個影響L2TP網絡協議的遠程程序執行重大漏洞��。
微軟本月修補的3個零時差漏洞分別是涉及WordPad的信息揭露漏洞CVE-2023-36563�,與Skype for Business有關的權限擴張漏洞CVE-2023-41763,以及在由Cloudflare、Google與Amazon Web Services(AWS)共同揭露的HTTP/2協議漏洞CVE-2023-44487���。
其中,要成功利用CVE-2023-36563漏洞必須先登入系統,再執行一個特制的程序�����,其攻擊途徑是誘導用戶開啟一個惡意檔案���,即可揭露Windows NT LAN Manager(NTLM)雜湊密碼��。雖然此漏洞的CVSS風險評分并不高���,且微軟已計劃于明年讓WordPad退役,但還在使用WordPad的Windows用戶仍應修補����。
至于要利用Skype的CVE-2023-41763漏洞則需執行一個特制的網絡通話至Skype for Business服務器上�����,可能導致一個對任意地址的HTTP請求,進而揭露IP地址與傳輸端口編號�����,此漏洞的CVSS風險評分亦不高��,但微軟警告���,所外泄的信息可能被黑客用來入侵內部網絡�����。
CVE-2023-44487無疑是近年來最嚴重的分布式服務阻斷(DDoS)漏洞,且自今年8月底以來便持續遭到黑客利用����,盡管該漏洞存在于HTTP/2協議中�����,但所有導入該協議的產品與服務都受到波及��,除了修補產品及服務之外,微軟也提出了暫時補救措施�,建議用戶可登錄編輯程序關閉HTTP/2協議�����。
由于上述3個已遭濫用的漏洞都無法被用來執行任意程序���,因此就算已實際遭到攻擊��,仍皆僅被列為重要(Important)漏洞�。
而在13個重大漏洞中����,就有9個屬于L2TP的遠程程序執行漏洞(CVE-2023-38166、CVE-2023-41765�����、CVE-2023-41767�、CVE-2023-41768、CVE-2023-41769�、CVE-2023-41770����、CVE-2023-41771����、CVE-2023-41773、CVE-2023-41774)��。L2TP是個用來建立虛擬私有網絡(VPN)的網路協議��,雖然這9個分屬不同的漏洞����,但它們皆為競爭條件漏洞�,允許未經授權的黑客借由傳送一個特定的協議訊息至路由及遠程存取服務,進而于RAS服務器上執行任意程序�。
這次修補的漏洞中�,最嚴重的當屬CVSS風險評分高達9.8的CVE-2023-35349�,是微軟消息排隊列(Message Queuing)的遠程程序執行漏洞��,不需用戶互動就能展開攻擊���。而且這次總計有20個漏洞與訊息隊列有關�����,當中的CVE-2023-35349與CVE-2023-36697被列為重大等級。
微軟的訊息排隊列(Message Queuing)技術可讓異質網絡、系統與不同時間執行的應用程序能夠彼此通訊,應用程序可傳送消息至排隊列�����,或是自隊列讀取訊息�����。它是個必須手動啟用的Windows組件��,微軟建議用戶可檢查系統所執行的服務與TCP 1801端口來判斷是否啟用了該服務。
