圖片來源:

Turag Photography on unsplash

微軟本周Patch Tuesday修補了83項軟體瑕疵,並警告2項為零時差漏洞,包含影響Outlook的重大漏洞,微軟已緊急釋出偵測及緩解工具。

2項零時差漏洞中,一項影響Windows版Outlook。該漏洞編號CVE-2023-23397,為權限擴張(elevation of privilege,EoP)漏洞。攻擊者可傳送MAPI屬性包含通用命名規範(Universal Naming Convention,UNC)的惡意郵件,導致受害者連向攻擊者控制的外部SMB伺服器共享資料夾。這能讓駭客經由取得受害者的Net-NTLMv2雜湊,藉此發動NTLM Relay攻擊,即可連到另一項服務,並冒用受害者身分完成驗證存取。

微軟並警告,只要Outlook用戶端接收並處理郵件即可自動觸發漏洞,不需使用者任何互動,表示不需開啟或預覽郵件就會遭到攻擊。

這漏洞是由烏克蘭電腦網路危機處理小組(CERT)及微軟威脅情報中心共同發現,風險值達9.8。本漏洞影響所有版本Windows版Outlook,但Android、iOS、Mac及Web版Outlook則未受影響,且Microsoft 365等線上服務不支援NTLM驗證,因此不受這類惡意信件影響。

微軟指出,攻擊該漏洞的是一個俄羅斯的駭客組織。他們相信該組織正對歐洲部分政府、交通、能源及軍事單位發動精準攻擊。

另一項零時差漏洞則是CVE-2023-24880,為SmartScreen安全功能繞過漏洞。攻擊者可製作惡意檔案,繞過Windows的Mark of the Web(MOTW)防護。MOTW防護是指當用戶從網路上下載檔案,Windows會在該檔加入MOTW的識別碼,在用戶開啟執行時發送SmartScreen檢查並警告用戶留意。最新漏洞會導致SmartScreen警告不會被觸發,提高惡意程式下載機會。本漏洞風險值5.4,影響Windows 10以上桌機,以及Windows Server 2016、2019及2022。

微軟強烈建議所有用戶升級到最新版本軟體。

微軟昨日同時針對CVE-2023-23397緊急釋出偵測及緩解腳本程式CVE-2023-23397 script。這項工具可以偵測是否有連到指向不明共享資料夾的電子郵件、行事曆或待辦事項物件。一旦偵測到就會移除或清除參數。如果未偵測到任何物件,表示用戶組織應該沒有受漏洞影響。