微软在周二发布的9月补丁中修补了两个被积极利用的零日漏洞。
第一个是CVE-2023-36761,这是一个已被公开披露的Microsoft Word信息泄露漏洞。微软早在3月份就修补了Outlook的一个类似漏洞。
Rapid7首席软件工程师Adam Barnett解释说:“成功的利用会导致NTLM哈希值的泄露,这可以为攻击者提供传递哈希值和远程身份验证的手段,而无需暴力破解哈希值。”
微软显然很担心CVE-2023-36761的潜在影响,因为它不仅为当前版本的Word提供补丁,还为Word 2013提供补丁,Word 2013已于2023年4月到期。
本月修复的第二个零日漏洞是CVE-2023-36802,这是微软流媒体服务代理中的特权提升漏洞。Barnett表示,这可以通过利用内核驱动程序将系统特权授予攻击者。
Immersive Labs的网络安全工程师Nikolas Cemerkic解释说:“服务代理是Office 365 Video的继任者,允许在网络上的任何设备上大规模播放。我们在这项服务中发现了一个漏洞,攻击者可以通过这个漏洞入侵目标系统,从而在同一台机器上获得管理员权限。”
他补充说:“尽管攻击者需要在机器上使用低级权限,但攻击者不需要用户交互就可以提升他们的权限。”
另外,本月还修复了四个关键的远程代码执行(RCE)漏洞。其中三个影响Visual Studio的分别是CVE-2023-36793, CVE-2023-36796和CVE-2023-36792。
Barnett解释说: “它们都依赖于用户打开恶意包文件,因此被归类为任意代码执行,而不是无交互RCE。”
在每种情况下,补丁都可以用于一长串的Visual Studio和.NET安装。拥有大量开发人员的组织可能会面临不成比例的风险。”
第四个关键漏洞CVE-2023-38148是在Windows Internet连接共享(ICS)中发现的,但要求攻击者与目标系统处于相同的共享物理或逻辑网络中。