微软7月补丁日:130个漏洞、5个在野利用、1个零日

2023年7月18日 · 行业动态

130个漏洞,创年度单月新高

7月12日,微软发布了2023年7月安全更新,一次性修复了130个安全漏洞。这是2023年以来单月修复漏洞数量最多的一次,其中包括9个严重(Critical)级别漏洞和121个重要(Important)级别漏洞。

漏洞类型分布: - 远程代码执行(RCE):37个 - 权限提升:33个 - 拒绝服务:22个 - 信息泄露:18个 - 安全功能绕过:12个 - 欺骗:6个 - XSS:2个

覆盖组件涵盖Windows、Exchange Server、Office、SharePoint Server、Teams、Azure Active Directory、.NET、Edge(Chromium)等微软全线产品。

5个在野利用,1个零日未修补

本次补丁日最令人紧张的不是数量,而是5个已被确认在野利用的漏洞:

CVE-2023-36884(Office和Windows HTML远程代码执行漏洞)——这是本次补丁日中唯一一个尚未发布补丁的漏洞,处于0day状态。攻击者可以创建特制的Microsoft Office文档,诱使用户打开后在受害者上下文中执行任意代码。CVSS评分8.3。天融信建议通过注册表设置FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION来缓解。

CVE-2023-32046(Windows MSHTML平台本地权限提升漏洞)——CVSS 7.8,需要用户打开特制文件触发,已成功利用但未被公开披露。

CVE-2023-32049(Windows SmartScreen安全功能绕过漏洞)——CVSS 8.8,攻击者通过特制URL绕过"打开文件-安全警告"提示,已成功利用。

CVE-2023-35311(Microsoft Outlook安全功能绕过漏洞)——CVSS 8.8,攻击者可绕过Outlook安全通知提示,邮件预览窗口即可触发。这是CVE-2023-23397(2023年3月被在野利用的Outlook权限提升漏洞)的延续利用链。

CVE-2023-36874(Windows错误报告服务本地权限提升漏洞)——CVSS 7.8,攻击者需要本地访问权限,利用后可获得管理员权限。

Exchange Server:老问题,新补丁

本次更新中,Exchange Server依然是重点修复对象。

CVE-2023-38181是一个身份认证绕过漏洞,本质上是CVE-2023-32031的补丁绕过,而CVE-2023-32031又是CVE-2023-21529的补丁绕过,CVE-2023-21529则是CVE-2022-41082的补丁绕过——而CVE-2022-41082是2022年就已活跃在野的ProxyShell漏洞链组件。

这个"补丁→绕过→再补丁→再绕过"的循环,折射出Exchange Server在企业邮件系统中的安全困境:架构层面的历史包袱使得每次修补都可能被绕过,而企业又难以在短期内完成邮件系统的迁移。

Teams也出现了RCE漏洞

CVE-2023-29328是Microsoft Teams中的远程代码执行漏洞。攻击者可诱使用户加入一个恶意Teams会议,进而在用户计算机上执行代码。影响Teams的Android、iOS、Desktop和Mac全平台版本。

这个漏洞的攻击场景值得警惕:在远程办公常态化的今天,Teams会议已成为日常工作的一部分,用户对于"参加会议"这一行为的安全警惕性远低于"打开可疑文件"。

对安全团队的建议

面对单月130个漏洞的更新规模,安全团队的优先级排序至关重要:

立即行动:CVE-2023-36884尚无补丁,需通过注册表缓解;其余4个在野利用漏洞应立即部署补丁。

重点关注:Exchange Server相关漏洞(CVE-2023-38181、CVE-2023-21709),以及Windows消息队列(MSMQ)远程代码执行漏洞CVE-2023-35385。

持续跟踪:CVE-2023-36884的补丁进展,一旦发布需第一时间部署。


参考来源:天融信安全通告360CERT通告

← 返回文章列表