● Click the ↑ blue word to follow us and get more security risk notices
Vulnerability overview |
|||
Vulnerability name |
Multiple Product Security Vulnerabilities in Microsoft's August 2023 Patch Day |
||
Affect manufacturers & products |
Windows Kernel、Microsoft Office、Microsoft Exchange Server等 |
||
open time |
2023-08-09 |
Affected object magnitude |
tens of millions |
Qi Anxin Rating |
high risk |
use possibility |
high |
PoC status |
unpublished |
state of use in the wild |
found |
EXP state |
unpublished |
Technical Details Status |
unpublished |
Hazard description: Attackers exploit these vulnerabilities to cause privilege escalation, remote code execution, etc. |
|||
01
Vulnerability details
This month, Microsoft has released patches for 74 vulnerabilities, fixing vulnerabilities in products such as Windows Kernel, Microsoft Office, and Microsoft Exchange Server. It is worth noting that this month Microsoft fixed the 0day vulnerability Windows Search remote code execution vulnerability (CVE-2023-36884) that was exploited at the NATO summit in July. After research and judgment, the following 16 important vulnerabilities deserve attention (including 7 urgent vulnerabilities and 9 important vulnerabilities), as shown in the following table:
serial number |
Vulnerability name |
risk level |
public status |
use possible |
|
CVE-2023-36884 |
Windows Search Remote Code Execution Vulnerability |
urgent |
published |
Use in the wild |
|
CVE-2023-35385 |
Microsoft Message Queuing Remote Code Execution Vulnerability |
urgent |
unpublished |
generally |
|
CVE-2023-36911 |
Microsoft Message Queuing Remote Code Execution Vulnerability |
urgent |
unpublished |
generally |
|
CVE-2023-36910 |
Microsoft Message Queuing Remote Code Execution Vulnerability |
urgent |
unpublished |
generally |
|
CVE-2023-36895 |
Microsoft Outlook Remote Code Execution Vulnerability |
urgent |
unpublished |
generally |
|
CVE-2023-29330 |
Microsoft Teams Remote Code Execution Vulnerability |
urgent |
unpublished |
generally |
|
CVE-2023-29328 |
Microsoft Teams Remote Code Execution Vulnerability |
urgent |
unpublished |
generally |
|
CVE-2023-35382 |
Windows Kernel Privilege Escalation Vulnerability |
important |
unpublished |
larger |
|
CVE-2023-35386 |
Windows Kernel Privilege Escalation Vulnerability |
important |
unpublished |
larger |
|
CVE-2023-35359 |
Windows Kernel Privilege Escalation Vulnerability |
important |
unpublished |
larger |
|
CVE-2023-35380 |
Windows Kernel Privilege Escalation Vulnerability |
important |
unpublished |
larger |
|
CVE-2023-35384 |
Windows HTML Platform Security Feature Bypass Vulnerability |
important |
unpublished |
larger |
|
CVE-2023-38182 |
Microsoft Exchange Server Remote Code Execution Vulnerability |
important |
unpublished |
larger |
|
CVE-2023-35388 |
Microsoft Exchange Server Remote Code Execution Vulnerability |
important |
unpublished |
larger |
|
CVE-2023-38180 |
.NET and Visual Studio Denial of Service Vulnerability |
important |
unpublished |
larger |
|
CVE-2023-36900 |
Windows Common Log Filesystem Driver Elevation of Privilege Vulnerability |
important |
unpublished |
larger |
|
02
Focus on Vulnerabilities
>>>>
Vulnerabilities are easier to exploit
One of the vulnerabilities fixed this time has been detected to be exploited in the wild, CVE-2023-36884 Windows Search Remote Code Execution Vulnerability . The following 10 vulnerabilities are marked by Microsoft as "Exploitation Detected" or "Exploitation More Likely", which means that these vulnerabilities are more likely to be exploited:
CVE-2023-36884 Windows Search Remote Code Execution Vulnerability
CVE-2023-38180 .NET and Visual Studio Denial of Service Vulnerability
CVE-2023-38182 Microsoft Exchange Server Remote Code Execution Vulnerability
CVE-2023-35388 Microsoft Exchange Server Remote Code Execution Vulnerability
CVE-2023-35384 Windows HTML Platform Security Feature Bypass Vulnerability
CVE-2023-35382 Windows Kernel Privilege Escalation Vulnerability
CVE-2023-35386 Windows Kernel Privilege Escalation Vulnerability
CVE-2023-35380 Windows Kernel Privilege Escalation Vulnerability
CVE-2023-35359 Windows Kernel Privilege Escalation Vulnerability
CVE-2023-36900 Windows Generic Log File System Driver Privilege Escalation Vulnerability
CVE-2023-35388 Microsoft Exchange Server 远程代码执行漏洞由奇安信天工实验室安全研究员发现并提交。
鉴于这些漏洞危害较大,建议客户尽快安装更新补丁。
>>>>
重点关注漏洞详情
经研判,以下16个漏洞值得关注,漏洞的详细信息如下:
1、CVE-2023-36884 Windows Search远程代码执行漏洞
漏洞名称 |
Windows Search远程代码执行漏洞 |
||||
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2023-36884 |
公开状态 |
已公开 |
在野利用 |
已发现 |
||
漏洞描述 |
Windows Search中存在远程代码执行漏洞,未经身份验证的远程攻击者通过构造特制的office文档,成功诱导受害者在受影响的系统上打开该文档后,可以利用该漏洞在目标系统上执行任意代码。目前该漏洞已发现在野利用事件。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36884 |
|||||
2、Microsoft 消息队列远程代码执行漏洞
漏洞名称 |
Microsoft 消息队列远程代码执行漏洞 |
||||
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2023-35385 CVE-2023-36911 CVE-2023-36910 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
Microsoft 消息队列中存在远程代码执行漏洞。这些漏洞的存在是由于 Microsoft 消息队列中用户提供的输入验证不足。未经身份验证的远程攻击者利用该漏洞可以在目标服务器上执行代码。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-35385 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36911 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36910 |
|||||
3、CVE-2023-36895 Microsoft Outlook 远程代码执行漏洞
漏洞名称 |
Microsoft Outlook 远程代码执行漏洞 |
||||
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2023-36895 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
该漏洞允许远程攻击者在目标系统上执行任意代码。利用该漏洞未经身份验证的远程攻击者诱骗受害者打开特制文件后可以在系统上执行代码。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36895 |
|||||
4、Microsoft Teams 远程代码执行漏洞
漏洞名称 |
Microsoft Teams 远程代码执行漏洞 |
||||
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2023-29328 CVE-2023-29330 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
Microsoft Teams上存在远程代码执行漏洞,未经身份验证的远程攻击者诱导受害者加入攻击者设置的恶意Microsoft Teams会议后,攻击者利用该漏洞可以在受害者系统上获取或更改其信息,还可能导致受害者计算机停机。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-29328 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-29330 |
|||||
5、Windows 内核权限提升漏洞
漏洞名称 |
Windows 内核权限提升漏洞 |
||||
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2023-35382 CVE-2023-35386 CVE-2023-35380 CVE-2023-35359 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
Windows内核上存在权限提升漏洞。由于应用程序没有在Windows内核中正确施加安全限制,拥有低权限的本地攻击者利用该漏洞可以将自身权限提升至SYSTEM权限。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-35382 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-35386 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-35380 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-35359 |
|||||
6、CVE-2023-35384 Windows HTML 平台安全功能绕过漏洞
漏洞名称 |
Windows HTML 平台安全功能绕过漏洞 |
||||
漏洞类型 |
安全特性绕过 |
风险等级 |
重要 |
漏洞ID |
CVE-2023-35384 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
Windows HTML 平台存在安全特性绕过漏洞,当MSHTML平台未能验证特定URL的正确安全区域时,可能允许攻击者引导用户访问比预期限制更低Internet安全区域中的URL。未经身份验证的远程攻击者构造特制的URL诱导受害者打开来触发该漏洞。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-35384 |
|||||
7、CVE-2023-38182 Microsoft Exchange Server 远程代码执行漏洞
漏洞名称 |
Microsoft Exchange Server 远程代码执行漏洞 |
||||
漏洞类型 |
远程代码执行 |
风险等级 |
重要 |
漏洞ID |
CVE-2023-38182 CVE-2023-35388 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
Microsoft Exchange Server上存在远程代码执行漏洞,在与Exchange服务器位于同一内部网络的情况下,经过身份验证的攻击者可以通过PowerShell远程会话实现远程代码执行。攻击者利用CVE-2023-35388可以在服务器邮箱后端获得NT AUTHORITY\SYSTEM的远程代码执行权限。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-38182 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-35388 |
|||||
8、CVE-2023-38180 .NET and Visual Studio 拒绝服务漏洞
漏洞名称 |
.NET and Visual Studio 拒绝服务漏洞 |
||||
漏洞类型 |
拒绝服务 |
风险等级 |
重要 |
漏洞ID |
CVE-2023-38180 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
该漏洞允许远程攻击者执行拒绝服务 (DoS) 攻击。该漏洞的存在是由于对用户提供的输入验证不足所致。远程攻击者可以向应用程序发送特制的输入并执行拒绝服务 (DoS) 攻击。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-38180 |
|||||
9、CVE-2023-36900 Windows 通用日志文件系统驱动程序权限提升漏洞
漏洞名称 |
Windows 通用日志文件系统驱动程序权限提升漏洞 |
||||
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2023-36900 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
该漏洞允许本地用户在系统上提升权限。该漏洞的存在是由于应用程序没有在Windows通用日志文件系统驱动程序中正确施加安全限制,拥有低权限的本地攻击者利用该漏洞可以将自身权限提升至SYSTEM权限。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-36900 |
|||||
03
处置建议
>>>>
安全更新
使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。
也可以采用以下官方解决方案及缓解方案来防护此漏洞:
Windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新
4、重启计算机,安装更新
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的8月补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Aug
>>>>
产品解决方案
奇安信天擎终端安全管理系统解决方案
奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户,可以将补丁库版本更新到:2023.08.09.1及以上版本,对内网终端进行补丁更新。
推荐采用自动化运维方案,如果控制中心可以连接互联网的用户场景,建议设置为自动从奇安信云端更新补丁库至2023.08.09.1版本。
控制中心补丁库更新方式:每天04:00-06:00自动升级,升级源为从互联网升级。
纯隔离网内控制中心不能访问互联网,不能下载补丁库和补丁文件,需使用离线升级工具定期导入补丁库和文件到控制中心。
04
参考资料
[1]https://msrc.microsoft.com/update-guide/releaseNote/2023-Aug
05
时间线
2023年8月9日,奇安信 CERT发布安全风险通告。
06
漏洞情报服务
奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~