微软2023年2月补丁日多产品安全漏洞风险通告
奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
安全通告
CVE编号 | 风险等级 | 漏洞名称 | 利用可能 |
CVE-2023-23376 | 重要 | Windows CLFS权限提升漏洞 | N/Y/D |
CVE-2023-21823 | 重要 | Windows 图形组件权限提升漏洞 | N/Y/D |
CVE-2023-21715 | 重要 | Microsoft Publisher安全功能绕过漏洞 | N/Y/D |
CVE-2023-21689 | 紧急 | Microsoft PEAP远程代码执行漏洞 | N/N/M |
CVE-2023-21690 | 紧急 | Microsoft PEAP远程代码执行漏洞 | N/N/M |
CVE-2023-21692 | 紧急 | Microsoft PEAP远程代码执行漏洞 | N/N/M |
CVE-2023-21716 | 紧急 | Microsoft Word 远程代码执行漏洞 | N/N/L |
CVE-2023-21707 | 重要 | Microsoft Exchange Server远程代码执行漏洞 | N/N/M |
CVE-2023-21706 | 重要 | Microsoft Exchange Server远程代码执行漏洞 | N/N/M |
CVE-2023-21529 | 重要 | Microsoft Exchange Server远程代码执行漏洞 | N/N/M |
CVE-2023-21812 | 重要 | Windows CLFS权限提升漏洞 | N/N/M |
CVE-2023-21822 | 重要 | Windows 图形组件权限提升漏洞 | N/N/M |
CVE-2023-21688 | 重要 | NT OS Kernel权限提升漏洞 | N/N/M |
注:“利用可能”字段包含三个维度(是否公开[Y/N]/是否在野利用[Y/N]/可利用性评估[D/M/L/U/NA])
简写 | 定义 | 翻译 |
Y | Yes | 是 |
N | No | 否 |
D | 0-Exploitation detected | 0-检测到利用 |
M | 1-Exploitation more likely * | 1-被利用可能性极大 |
L | 2-Exploitation less likely ** | 2-被利用可能性一般 |
U | 3-Exploitation unlikely *** | 3-被利用可能性很小 |
NA | 4-N/A | 4-不适用 |
CVE-2023-23376 Windows 通用日志文件系统驱动程序权限提升漏洞(N/Y/D)
CVE-2023-21823 Windows 图形组件权限提升漏洞(N/Y/D)
CVE-2023-21715 Microsoft Publisher安全功能绕过漏洞(N/Y/D)
以下11个漏洞被微软标记为“Exploitation More Likely”,这代表这些漏洞更容易被利用:
CVE-2023-21689 Microsoft PEAP远程代码执行漏洞(N/N/M)
CVE-2023-21690 Microsoft PEAP远程代码执行漏洞(N/N/M)
CVE-2023-21692 Microsoft PEAP远程代码执行漏洞(N/N/M)
CVE-2023-21707 Microsoft Exchange Server远程代码执行漏洞(N/N/M)
CVE-2023-21706 Microsoft Exchange Server远程代码执行漏洞(N/N/M)
CVE-2023-21529 Microsoft Exchange Server远程代码执行漏洞(N/N/M)
CVE-2023-21812 Windows 通用日志文件系统驱动程序权限提升漏洞(N/N/M)
CVE-2023-21822 Windows 图形组件权限提升漏洞(N/N/M)
CVE-2023-21688 NT OS Kernel权限提升漏洞(N/N/M)
CVE-2023-21818 Windows 安全通道拒绝服务漏洞(N/N/M)
CVE-2023-21819 Windows 安全通道拒绝服务漏洞(N/N/M)
以下漏洞由奇安信代码安全实验室、奇安信天工实验室安全研究员发现并提交,包括:
CVE-2023-21702 Windows iSCSI Service拒绝服务漏洞
CVE-2023-21694 Windows Fax Service远程代码执行漏洞
CVE-2023-21804 Windows Graphics Component权限提升漏洞
CVE-2023-21820 Windows Distributed File System (DFS) 远程代码执行漏洞
鉴于这些漏洞危害较大,建议客户尽快安装更新补丁。
漏洞描述
CVE-2023-23376 Windows 通用日志文件系统驱动程序权限提升漏洞(N/Y/D)
CVE-2023-21823 Windows 图形组件权限提升漏洞(N/Y/D)
CVE-2023-21715 Microsoft Publisher安全功能绕过漏洞(N/Y/D)
CVE-2023-21689 Microsoft PEAP远程代码执行漏洞(N/N/M)
CVE-2023-21690 Microsoft PEAP远程代码执行漏洞(N/N/M)
CVE-2023-21692 Microsoft PEAP远程代码执行漏洞(N/N/M)
CVE-2023-21707 Microsoft Exchange Server远程代码执行漏洞(N/N/M)
CVE-2023-21706 Microsoft Exchange Server远程代码执行漏洞(N/N/M)
CVE-2023-21529 Microsoft Exchange Server远程代码执行漏洞(N/N/M)
CVE-2023-21812 Windows 通用日志文件系统驱动程序权限提升漏洞(N/N/M)
CVE-2023-21822 Windows 图形组件权限提升漏洞(N/N/M)
CVE-2023-21688 NT OS Kernel权限提升漏洞(N/N/M)
CVE-2023-21818 Windows 安全通道拒绝服务漏洞(N/N/M)
CVE-2023-21819 Windows 安全通道拒绝服务漏洞(N/N/M)
经研判,以下13个漏洞值得关注,漏洞的详细信息如下:
1、CVE-2023-23376 Windows 通用日志文件系统驱动程序权限提升漏洞
漏洞名称 | Windows 通用日志文件系统驱动程序权限提升漏洞 | ||||
漏洞类型 | 权限提升 | 风险等级 | 重要 | 漏洞ID | CVE-2023-23376 |
公开状态 | 未公开 | 在野利用 | 已发现 | ||
漏洞描述 | Windows Common Log File System Driver存在权限提升漏洞,经过身份认证的攻击者可通过执行特制程序来利用此漏洞,从而在目标系统上以SYSTEM权限执行任意代码。值得注意的是,Microsoft 威胁情报中心已监测到针对此漏洞的在野利用。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23376 |
2、CVE-2023-21823 Windows 图形组件权限提升漏洞
漏洞名称 | Windows 图形组件权限提升漏洞 | ||||
漏洞类型 | 权限提升 | 风险等级 | 重要 | 漏洞ID | CVE-2023-21823 |
公开状态 | 未公开 | 在野利用 | 已发现 | ||
漏洞描述 | Windows Graphics Component存在权限提升漏洞,允许经过身份认证的攻击者在目标系统上以SYSTEM权限执行任意代码。此漏洞已被用于在野攻击。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21823 |
3、CVE-2023-21715 Microsoft Publisher 安全功能绕过漏洞
漏洞名称 | Microsoft Publisher 安全功能绕过漏洞 | ||||
漏洞类型 | 安全特性绕过 | 风险等级 | 重要 | 漏洞ID | CVE-2023-21715 |
公开状态 | 未公开 | 在野利用 | 已发现 | ||
漏洞描述 | Microsoft Publisher存在安全特性绕过漏洞,攻击者可通过诱导用户从网站下载并打开特制文件来利用此漏洞,成功利用此漏洞的攻击者可以绕过用于阻止不受信任或恶意文件的Office宏策略。此漏洞已被用于在野攻击。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21715 |
4、Microsoft 受保护的可扩展身份验证协议 (PEAP) 远程代码执行漏洞
漏洞名称 | Microsoft受保护的可扩展身份验证协议 (PEAP) 远程代码执行漏洞 | ||||
漏洞类型 | 代码执行 | 风险等级 | 紧急 | 漏洞ID | 详见描述 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | Microsoft PEAP存在多个远程代码执行漏洞(CVE-2023-21689、CVE-2023-21690、CVE-2023-21692),CVSSv3评分为9.8分,该组件用于与无线客户端建立安全连接。未经身份验证的远程攻击者可通过向目标服务器发送特制的恶意 PEAP 数据包来利用这些漏洞,成功利用这些漏洞可在目标系统上执行任意代码。微软将这些漏洞标记为“Exploitation More Likely”。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21689 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21690 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21692 |
5、CVE-2023-21716 Microsoft Word远程代码执行漏洞
漏洞名称 | Microsoft Word 远程代码执行漏洞 | ||||
漏洞类型 | 代码执行 | 风险等级 | 紧急 | 漏洞ID | CVE-2023-21716 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | Microsoft Word存在远程代码执行漏洞,CVSSv3评分为9.8分。远程攻击者可通过发送带有富文本格式 (RTF) 负载的电子邮件并诱导用户打开来利用此漏洞,成功利用此漏洞可在目标系统上以该用户权限执行任意代码。微软指出,预览窗格可以作为此漏洞的攻击媒介。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21716 |
6、Microsoft Exchange Server 远程代码执行漏洞
漏洞名称 | Microsoft Exchange Server 远程代码执行漏洞 | ||||
漏洞类型 | 代码执行 | 风险等级 | 重要 | 漏洞ID | 详见描述 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | Microsoft Exchange Server存在多个远程代码执行漏洞(CVE-2023-21707、CVE-2023-21706、CVE-2023-21529)。经过身份认证的远程攻击者可利用这些漏洞在服务器账户的上下文中执行任意代码。微软将这些漏洞标记为“Exploitation More Likely”。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21707 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21706 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21529 |
7、CVE-2023-21812 Windows 通用日志文件系统驱动程序权限提升漏洞
漏洞名称 | Windows 通用日志文件系统驱动程序权限提升漏洞 | ||||
漏洞类型 | 权限提升 | 风险等级 | 重要 | 漏洞ID | CVE-2023-21812 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | Windows Common Log File System Driver存在权限提升漏洞,经过身份认证的攻击者可通过在目标系统上执行特制程序来利用此漏洞,成功利用此漏洞可提升至SYSTEM权限。微软将此漏洞标记为“Exploitation More Likely”。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21812 |
8、CVE-2023-21822 Windows 图形组件权限提升漏洞
漏洞名称 | Windows 图形组件权限提升漏洞 | ||||
漏洞类型 | 权限提升 | 风险等级 | 重要 | 漏洞ID | CVE-2023-21822 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | Windows Graphics Component存在权限提升漏洞,经过身份认证的攻击者可通过在目标系统上执行特制程序来利用此漏洞,成功利用此漏洞可提升至SYSTEM权限。微软将此漏洞标记为“Exploitation More Likely”。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21822 |
9、CVE-2023-21688 NT OS Kernel权限提升漏洞
漏洞名称 | NT OS Kernel权限提升漏洞 | ||||
漏洞类型 | 权限提升 | 风险等级 | 重要 | 漏洞ID | CVE-2023-21688 |
公开状态 | 未公开 | 在野利用 | 未发现 | ||
漏洞描述 | NT OS Kernel存在权限提升漏洞,经过身份认证的攻击者可通过在目标系统上执行特制程序来利用此漏洞,成功利用此漏洞可提升至SYSTEM权限。微软将此漏洞标记为“Exploitation More Likely”。 | ||||
参考链接 | |||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21688 |
风险等级
处置建议
也可以采用以下官方解决方案及缓解方案来防护此漏洞:
Windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
另外,对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的2月补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Feb
产品线解决方案
奇安信天擎终端安全管理系统解决方案
奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户,可以将补丁库版本更新到:2023.02.15.1及以上版本,对内网终端进行补丁更新。
推荐采用自动化运维方案,如果控制中心可以连接互联网的用户场景,建议设置为自动从奇安信云端更新补丁库至2022.02.15.1版本。
控制中心补丁库更新方式:每天04:00-06:00自动升级,升级源为从互联网升级。
纯隔离网内控制中心不能访问互联网,不能下载补丁库和补丁文件,需使用离线升级工具定期导入补丁库和文件到控制中心。
参考资料
时间线
2023年2月15日,奇安信 CERT发布安全风险通告。