新闻中心 > 新闻详情

内存安全周报第127期 |微软修复了三个被利用的0Day漏洞

2023 年 2 月 19 日

安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。


一、微软修复了三个被利用的0Day漏洞(2 .14 )

微软修复的三个被利用的0Day漏洞分别是CVE-2023-21715、CVE-2023-23376、CVE-2023-21823。

详细情况

在2023年2月的周二补丁日到来之际,Microsoft发布了针对75个CVE编号漏洞的补丁,其中包括3个主动利用的0Day漏洞(CVE-2023-21715、CVE-2023-23376、CVE-2023-21823)。

CVE-2023-21715允许攻击者绕过Microsoft Publisher安全功能----用于阻止不受信任或恶意文件的Office宏策略。

微软解释说:“攻击本身是经过身份验证的用户在目标系统的本地执行的。 经过身份验证的攻击者可以利用社会工程诱骗受害者从网站下载并打开特别构制的文件来利用此漏洞,这可能导致针对受害者计算机的本地攻击。”

由于本地攻击向量以及利用该漏洞需要提升权限和用户交互这一事实,该漏洞被评为“重要”。尽管如此,任何允许攻击者滥用Office文档中的宏而不触发阻止的缺陷都应该迅速修补,无论它目前是在高度针对性的攻击中还是更广泛地利用。攻击者已经慢慢放弃使用宏,因为 Microsoft 开始在从 互联网 下载的 Office 文档中默认阻止它们,但像这样的漏洞显然使它们仍然是一个不错的选择。

CVE-2023-23376是Windows通用日志文件系统中的一个漏洞,可能会导致攻击者获得目标主机的SYSTEM权限。

“这可能会与某个RCE漏洞组合,来传播恶意软件或勒索软件。该漏洞可能会被高级威胁行为者利用,因为它是由微软的威胁情报中心(又名MSTIC)发现的。Trend Micro的Dustin Childs说:“请确保尽快测试并修复这些程序。”

CVE-2023-21823是Windows图形组件中的一个漏洞,可能导致远程代码执行和易受攻击的系统被完全控制。

微软表示,“微软商店会为受影响的客户自动更新。”如果有人禁用了自动更新,可以自行通过微软商店获取更新:Library > Get updates > Update all)。

不幸的是,微软并没有分享有关利用这些漏洞攻击的任何细节。

其他需要注意的漏洞

Childs建议管理员尽快修补CVE-2023-21716漏洞,这是Microsoft Word中的一个严重RCE漏洞,只要系统打开预览窗格就可以被利用。

微软说:“未经身份验证的攻击者可能会发送一封包含 RTF 有效负载的恶意电子邮件,这将使他们能够获得在用于打开恶意文件的应用程序中执行命令的权限”。

虽然要求攻击者在利用前进行身份验证的Microsoft Exchange服务器的RCE漏洞不多,但由于攻击者比较喜欢攻击Exchange服务器,管理员应该先对其进行修复。

参考链接

https://www.helpnetsecurity.com/2023/02/14/microsoft-patches-three-exploited-zero-days-cve-2023-21715-cve-2023-23376-cve-2023-21823/?web_view=true

二、周三,Cisco宣布了更新了终端,云和网络安全产品,解决了第三方扫描库ClamAV中的关键漏洞。(2.16)

ClamAV是一个开源的跨平台反恶意软件工具包,可以检测特洛伊木马、病毒和其他类型的恶意软件。

详细情况

2月15日,ClamAV的维护人员公布了关键补丁,解决了库中的两个漏洞,其中最严重的漏洞可能导致远程代码执行。

该漏洞是CVE-2023-20032漏洞(CVSS得分9.8),存在于HFS+文件解析器中,并影响ClamAV 0.103.7及更早版本、0.105.1 及更早版本以及 1.0.0 及更早版本。

解析器中缺少缓冲区检查可能会导致堆缓冲区写溢出。攻击者可以提交精心构造的HFS+分区文件进行扫描,从而触发该漏洞。

Cisco在其公告中解释说:“成功利用此漏洞,可能导致攻击者以ClamAV扫描进程的权限来执行任意代码,或者进程崩溃,导致拒绝服务(DoS)。”

第二个是 CVE-2023-20052漏洞(CVSS得分5.3),是XML 外部实体(XXE)注入,可以通过提交精心构造的DMG文件进行扫描来触发,从而导致ClamAV读取的文件的字节泄漏。

受影响的思科产品包括 Secure Endpoint(以前称为 Advanced Malware Protection, AMP)、Secure Endpoint Private Cloud 和 Secure Web Appliance(以前称为 Web Security Appliance)。

据这家科技巨头称,Secure Email Gateway(前身为 Email Security Appliance)和Secure Email and Web Manager(前身为 Security Management Appliance)并未受到影响。

在Nexus Dashboard软件中不正确地处理DNS请求,可能会导致攻击者发送连续的DNS请求流,从而导致DoS条件。

该漏洞是CVE-2023-20014漏洞(CVSS 得分7.5),已在发布Nexus Dashboard 2.3(1c)版本中得到解决。建议网络软件2.2、2.1或2.0及更早版本的用户尽快升级到最新版本。

参考链接

https://www.securityweek.com/critical-vulnerability-patched-in-cisco-security-products/?web_view=true

隐私政策     法律信息     Copyright©️2019-2023 ANXINSEC All Rights Reserved | 京ICP备19024522号-1 |  京公网安备 11010802033723号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24