赶紧升级!微软3月安全更新高危漏洞通告!
微软高危漏洞通知
本月微软月度更新修复的漏洞中,根据产品流行度和漏洞重要性,筛选出此次更新中影响较大的2个0day漏洞(指负责应用程序的程序员或供应商所未知的软件缺陷。因为该漏洞未知,所以没有可用的补丁程序。换句话说,该漏洞是由不直接参与项目的人员发现的。)
请相关用户重点进行关注,尽快更新补丁进行防护!
未经身份验证的攻击者通过发送特制的电子邮件,导致受害者连接到攻击者控制的外部的UNC位置,就会触发该漏洞,用户无法避免攻击!造成受害者的Net-NTLMv2散列泄露给攻击者,后续攻击者可以将其中继到另一个服务并作为受害者进行身份验证,最终实现权限提升。
Tenable 的高级研究工程师指出,Outlook 漏洞通常是由预览窗格功能触发的,但不是这个。“这是因为该漏洞是在电子邮件服务器端触发的,这意味着在受害者查看恶意电子邮件之前就会发生利用。”
这种攻击向量与用户在服务器上使用的邮件系统无关,甚至Exchange Online也会受到影响。该缺陷影响所有受支持的 Microsoft Outlook for Windows 版本,但不影响 Outlook for Mac、iOS 或 Android 或 Outlook 网页版。微软指出:“Microsoft 365 等在线服务不支持 NTLM 身份验证,不易受到这些消息的攻击。”
参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
CVE-2023-24880 是一个允许攻击者绕过 Windows SmartScreen 功能的漏洞。未经身份验证的远程攻击者通过诱导用户打开恶意文件,成功利用该漏洞的攻击者可以逃避Web标记(MOTW)防御,从而导致MOTW标记的安全功能的完整性和可用性受损。
谷歌威胁分析小组 (TAG) 的研究人员向微软报告了对该漏洞的野外利用,微软发现该漏洞被利用来传播 Magniber 勒索软件。“自 2023 年 1 月以来,TAG 观察到恶意 MSI 文件的下载量超过 100,000 次,其中超过 80% 是针对欧洲用户的——这与 Magniber 的典型目标明显不同,后者通常侧重于韩国和台湾。” 他们还指出,在 2022 年 9 月和 2022 年 11 月,威胁行为者使用类似的 SmartScreen 绕过漏洞 (CVE-2022-44698) 传播 Magniber 勒索软件和 Qakbot 信息窃取程序,该漏洞于 2022 年 12 月得到修补。
参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24880
Microsoft 安全响应中心 (MSRC) 会调查所有影响 Microsoft 产品和服务的安全漏洞报告,并在此处提供相关信息,按照严重性程度进行排名,您可以根据需求,直接点击进行补丁修复。这是帮助您管理安全风险并保护系统安全的持续努力的一部分。
网页链接:
https://msrc.microsoft.com/update-guide/vulnerability
由于网络问题、计算机环境问题等原因,Windows Update的补丁更新可能出现失败。用户在安装补丁后,应及时检查补丁是否成功更新。
右键点击Windows图标,点击“设置”,选择“更新和安全”-“Windows更新”,查看该页面上的提示信息,也可点击“查看更新历史记录”查看历史更新情况。
往期回顾
BREAK AWAY
北尔旗网络优化
项目成功案例
微软即将实现
AI入万物
通过ISO27001
& ISO20000
柠萌影视IT
安全意识培训
摩根大通限制
使用ChatGPT
谨防域名诈骗
切勿轻易付款
Wi-Fi图标变
小地球怎么办
Chrome浏览器
2月技巧更新
谷歌AI机器人
Bard出师不利
网络攻击导致
公司股价大跌
一分钟了解
ChatGPT
Sinokap公众号每日放送IT小技巧,让你的工作、学习、甚至是日常生活更加高效、便捷。
Sinokap China IT Service Team daily broadcasts Professional IT Support Tips and Tricks. We are engaged to bring you a variety of IT skills that can be widely used in your business work, study and daily life.
关注我们
Follow us
如果你想了解更多IT资讯和小诀窍~
If you would like to learn more IT related news and IT Trick Tips.
加入我们
Join us
如果你想变得更强,成为一名专业的工程师~
If you want to improve self-ability and grow into a skillful engineer.
联系我们
Contact us
如果你需要专业的IT服务支持需求~
If you need Professional IT Support and IT Services in Shanghai, China.
点击进入公众号,长期关注不迷路!