Microsoft在月的補丁中靜靜地帶來「驚喜」,首先是為「壽終正寢」的Internet Explorer推出補丁,其次是有6個安全漏洞已經被攻擊者使用,第三個驚喜是其中2個已被堵塞,但非透過補丁,而是經由建議。
為甚麼要補丁Internet Explorer?
在不久之前我們曾寫過Internet Explorer已經死亡(未斷氣),當時提到Microsoft建議繼續安裝IE相關的保安更新,因為它的元件仍在系統之內,現在終於明白為何他們提出建議,在7月的補丁中堵塞了3個MSHTML內的安全漏洞,也是這款經典瀏覽器內的引擎,Microsoft在CVE的描述中提到:
當Microsoft宣佈Internet Explorer 11應用程式中某些平台上退役,Microsoft Edge舊版應用程式已經棄用,但仍支援底層MSHTML、EdgeHTML和腳本平台,MSHTML平台被Edge及其他應用程式經由WebBrowser control使用Internet Explorer模式,EdgeHTML平台被WebView和部份UWP應用程式所使用,腳本平台則被MSHTML和EdgeHTML所使用,但也能被其他舊應用程式所使用。更新能堵塞相關的安全漏洞,為了完全保護,建議客戶安裝Security Only更新去安裝IE Cumulative更新。
最危險的IE安全漏洞時CVE-2023-32046,已經有黑客用在真實的攻擊之中,成功的話犯罪份子就能在受害者裝置內升級他們的權限,攻擊的劇本由製作惡意檔案,然後透過電郵或受感染的網站傳播開始,之後只要遊說受害者依照連結打開檔案。
其餘兩個安全漏洞CVE-2023-35308和CVE-2023-35336能夠用來繞過保安功能,前者可以繞過Mark-of-the-Web機制創建檔案,令檔案能透過Microsoft Office應用程式打開時不進入Protected View模式,兩個安全漏洞都能用來欺騙受害者進入網址到較少限制的互聯網保安區域。
建議代替補丁
有兩個安全漏洞同樣已被利用,但卻沒有完整的補丁,取而代之是保安建議,第一個是CVE-2023-36884,於Storm-097/RomCom的RCE攻擊Office和windows,Microsoft建議把所有Office執行檔加到FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION清單。第二個ADV-230001並沒有CVE編碼,Microsoft吊銷了一批用來APT攻擊的開發者證書,並封鎖了多個惡意驅動程式,可惜問題的根源仍在,黑客仍能簽發有Microsoft認證的驅動程式,又或者修改日期令它不需MS開發者網站的簽名,Microsoft只建議保持Windows和EDR更新,慶幸攻擊者需要擁有管理員權限才能使用該驅動程式。
其他已被使用的安全漏洞
除了上述的安全漏洞,還有以下3個已被網絡犯罪份子利用的安全漏洞:
- CVE-2023-32049 – 繞過SnartScreen保安功能的安全漏洞,令攻擊者能創建檔案不會再顯示Windows的警告「從互聯網下載」。
- CVE-2023-36874 – 在Windows Error報告服務中提升權限的安全漏洞,當攻擊者已有普通權限創建資料夾及技術性監控文件時提升權限。
- CVE-2023-35311 – Outlook繞過保安功能的安全漏洞,協助犯罪份子在顯示預覽時顯示警告。
安裝補丁保平安
要保護公司資源,我們建議盡快安裝安全補丁,並且在所有工作電腦和伺服器上使用現代的保安方案,能偵測已知和未知安全漏洞被使用的威脅。
資料來源:Kaspersky Blog