Windows 2023 年 1 月星期二補丁，修復了 1 個目前被利用的零日漏洞和 98 個其他漏洞

本文將總結微軟Patch Tuesday補丁的最新資訊。我們邀請您跟隨。

2023 年 1 月星期二補丁

2023 年 1 月 10 日星期二，微軟發布了 2023 年 1 月修補程式星期二，修復了 Windows 作業系統上一個被積極利用的零日漏洞以及總共 98 個其他漏洞。

這是 2023 年的第一個補丁星期二，修復了多達 98 個漏洞，其中 11 個漏洞被評為「嚴重」。

通常，當漏洞允許駭客遠端執行程式碼、繞過安全功能或升級權限時，Microsoft 將其評級為「嚴重」。

下面列出了每種類型的漏洞數量：

• 39個權限提升漏洞
• 4個安全繞過漏洞
• 33個遠端程式碼執行漏洞
• 10個資訊外洩漏洞
• 10個拒絕服務漏洞
• 2 欺騙漏洞

本月的補丁星期二修復了一個被積極利用的零日漏洞，還修復了另一個公開披露的零日漏洞。

如果某個漏洞已被公開或未經官方修復而被利用，則 Microsoft 會將該漏洞視為零時差漏洞。

目前已修復的利用的零日漏洞為：

• CVE-2023-21674 - Windows 高階本地流程呼叫 (ALPC) 特權提升漏洞由 Avast 研究人員 Jan Vojtěšek、Milánek 和 Przemek Gmerek 發現。微軟表示，這是一個沙箱逃逸漏洞，可能導致權限升級攻擊。微軟表示：“成功利用此漏洞的駭客可以獲得系統級權限。”目前尚不清楚駭客將如何利用該漏洞進行攻擊。

微軟也表示，Akamai專家發現的漏洞CVE-2023-21549－Windows SMB見證服務特權提升漏洞已經 公開揭露。

不過，Akamai 安全研究員 Stiv Kupchik 表示，他們遵循正常的揭露程序，因此該漏洞不應被歸類為公開揭露的漏洞。

2022 年 12 月星期二補丁

在 2022 年 12 月補丁星期二更新中，微軟發布了兩個嚴重零日漏洞的補丁，其中一個被利用，以及總共 49 個其他漏洞。

49 個新修補的漏洞中有 6 個被列為「嚴重」漏洞，因為它們允許遠端執行程式碼，這是最危險的漏洞類型之一。

下面列出了每種類型的漏洞數量：

• 19個權限提升漏洞
• 2個安全繞過漏洞
• 23個遠端程式碼執行漏洞
• 3個資訊外洩漏洞
• 3 拒絕服務漏洞
• 1個欺騙漏洞

上述清單不包括 12 月 5 日修補的 Microsoft Edge 上的 25 個漏洞。

2022 年 12 月星期二補丁修復了兩個零日漏洞，其中一個正在被駭客積極利用，另一個已公開宣布。如果某個漏洞在沒有可用官方修補程式的情況下被公開披露或被積極利用，則微軟將其稱為零日漏洞。

最近修補的兩個零日漏洞是：

• CVE-2022-44698：Windows SmartScreen 安全功能繞過漏洞由研究員 Will Dormann 發現。 「攻擊者可能會建立惡意檔案來繞過 Web 標記 (MOTW) 保護，從而導致安全功能（例如依賴 MOTW 標記的 Microsoft Office 中的受保護視圖）的完整性和可用性喪失」。駭客可以透過建立使用格式錯誤的簽章進行簽署的獨立惡意 JavaScript 檔案來利用此漏洞。以這種方式簽署時，會導致SmartCheck失敗並且不顯示MOTW安全警告，從而允許惡意檔案自動運行並安裝惡意程式碼。駭客在惡意軟體分發活動中積極利用此漏洞，包括 QBot 木馬和 Magniber 勒索軟體分發活動。
• CVE-2022-44710：DirectX 圖形核心特權提升漏洞由研究員 Luka Pribanić 發現。成功利用此漏洞可以獲得系統級權限。

2022 年 11 月星期二補丁

微軟剛發布了2022年11月修補程式星期二更新，修復了6個被駭客利用的漏洞以及總共68個其他漏洞。

在此次修補的 68 個漏洞中，有 11 個被評為“嚴重”，因為它們允許權限升級、篡改和遠端執行程式碼，這是最煩人的漏洞類型之一。

下面列出了每種類型的漏洞數量：

• 27個權限提升漏洞
• 4個安全繞過漏洞
• 16個遠端程式碼執行漏洞
• 11個資訊外洩漏洞
• 6個拒絕服務漏洞
• 3個欺騙漏洞

上述清單不包括11月2日揭露的兩個OpenSSL漏洞。

本月的補丁星期二修復了六個目前被利用的零日漏洞，其中一個已被公開披露。

被利用和修補的 6 個零日漏洞包括：

• CVE-2022-41128： Windows 腳本語言遠端程式碼執行漏洞由 Google 威脅分析小組的 Clément Lecigne 發現。此漏洞需要使用者使用受影響的 Windows 版本來存取惡意伺服器。攻擊者可以創建惡意伺服器或網站。攻擊者無法強迫用戶訪問惡意伺服器，但他們可以透過網路釣魚電子郵件或簡訊誘騙用戶這樣做。
• CVE-2022-41091： Will Dormann 發現了 Windows Mark of the Web 安全功能繞過漏洞。攻擊者可以建立繞過 Web 標記 (MOTW) 保護的惡意文件，從而導致安全功能（例如依賴 MOTW 標記的 Microsoft Office 中的受保護視圖）的完整性和可用性喪失。
• CVE-2022-41073： Microsoft 威脅情報中心 (MSTIC) 發現 Windows 列印後台處理程序特權提升漏洞。成功利用此漏洞的攻擊者可以獲得系統權限。
• CVE-2022-41125： Microsoft 威脅情報中心 (MSTIC) 和 Microsoft 安全回應中心 (MSRC) 發現 Windows CNG 金鑰隔離服務特權提升漏洞。成功利用此漏洞的攻擊者可以獲得系統權限。
• CVE-2022-41040： GTSC 發現 Microsoft Exchange Server 特權提升漏洞，並透過零資料計畫揭露。特權攻擊者可以在系統上下文中執行 PowerShell。
• CVE-2022-41082： GTSC 發現 Microsoft Exchange Server 遠端程式碼執行漏洞，並透過零資料計畫揭露。利用此漏洞的攻擊者可以以伺服器帳戶為目標來執行任意或遠端程式碼。作為經過身份驗證的用戶，攻擊者可以透過網路命令在伺服器帳戶的上下文中執行惡意程式碼。

2022 年 10 月星期二補丁

按照計劃，微軟剛剛發布了 2022 年 10 月補丁星期二更新，修復了一個被利用的零日漏洞和 84 個其他漏洞。

在此次更新修復的 84 個漏洞中，有 13 個被列為「嚴重」漏洞，因為它們允許駭客執行特權提升攻擊、篡改或遠端程式碼執行，這是最嚴重的漏洞類型之一。

下面列出了每種類型的漏洞數量：

• 39個權限提升漏洞
• 2個安全繞過漏洞
• 20個遠端程式碼執行漏洞
• 11個資訊外洩漏洞
• 8個拒絕服務漏洞
• 4個欺騙漏洞

上述清單不包括 10 月 3 日修補的 Microsoft Edge 上的 12 個漏洞。

2022 年 10 月星期二修補修復了兩個零日漏洞，一個在攻擊中被積極利用，另一個已公開披露。

如果某個漏洞在沒有可用官方修補程式的情況下被公開披露或被積極利用，則微軟將其稱為零日漏洞。

新修補的主動利用零日漏洞追蹤程式碼為CVE-2022-41033，是一個權限提升漏洞，即Windows COM+事件系統服務權限提升漏洞。

微軟表示：“成功利用此漏洞的駭客可以獲得系統權限。”一位匿名研究人員發現了此漏洞並向 Microsoft 報告。

此公開揭露的零日漏洞追蹤編號為CVE-2022-41043，屬於資訊外洩漏洞，即Microsoft Office資訊外洩漏洞。它是由 SpectreOps 的 Cody Thomas 發現的。

微軟表示，攻擊者可以利用此漏洞存取用戶的身份驗證令牌。

可惜的是，在此週二修補程式更新中，Microsoft 並未包含針對 Microsoft Exchange 零時差漏洞 CVE-2022-41040 和 CVE-2022-41082 的修補程式。它們也稱為 ProxyNotShell 漏洞。

越南網路安全機構 GTSC 於 9 月底宣布了這些漏洞，該機構最先發現並報告了這些攻擊。

這些漏洞已透過趨勢科技的零日計畫向 Microsoft 披露，預計將在 2022 年 10 月的修補程式星期二中進行修補。不過，微軟宣布該補丁尚未準備好。

2022 年 9 月星期二補丁

微軟剛剛發布了 2022 年 9 月星期二補丁，修復了被駭客利用的零日漏洞和 63 個其他問題。

這批修復的 63 個漏洞中有 5 個被評為嚴重漏洞，因為它們允許遠端執行程式碼，這是最受關注的漏洞類型之一。

下面列出了每種類型的漏洞數量：

• 18個權限提升漏洞
• 1個安全繞過漏洞
• 30個遠端程式碼執行漏洞
• 7個資訊外洩漏洞
• 7個拒絕服務漏洞
• 與 Edge - Chromium 相關的 16 個漏洞

上述清單不包括週二修補程式發布之前 Microsoft Edge 中已修補的 16 個漏洞。

與上個月一樣，本月的補丁星期二也修復了兩個零日漏洞，其中一個已被駭客利用進行攻擊。被利用的漏洞被追蹤為CVE-2022-37969，是一個權限升級漏洞。

微軟稱，如果成功利用CVE-2022-37969，駭客將獲得系統級權限。該漏洞由 DBAPPSecurity、Mandiant、CrowdStrike 和 Zscaler 的研究人員發現。

研究人員表示，CVE-2022-37969 是一個單一漏洞，不屬於任何安全風險鏈的一部分。

剩下的需要修補的零日漏洞是 CVE-2022-23960，由 VUSec 安全研究人員發現。

除了微軟之外，Adobe、蘋果、思科、谷歌等一系列其他巨頭也發布了更新來修補安全漏洞。

2022 年 8 月星期二補丁

微軟剛發布了2022年8月修補程式星期二更新，修復了被駭客利用的DogWalk零日漏洞，並修復了總共121個其他問題。

本輪修復的 121 個安全問題中有 17 個被認為是嚴重的，因為它們允許遠端程式碼執行或權限升級。

每個類別下的漏洞清單如下：

• 64個權限提升漏洞
• 6個安全功能繞過漏洞
• 31 個遠端程式碼執行 (RCE) 漏洞
• 12個資訊外洩漏洞
• 7 拒絕服務 (DoS) 漏洞
• 1個欺騙漏洞

上述漏洞數量不包括 Microsoft Edge 先前修復的 20 個漏洞。

在 2022 年 8 月的周二補丁更新中，微軟修復了兩個嚴重的零日漏洞，其中一個被駭客攻擊所利用。 

如果某個漏洞被公開或未經官方修復而被利用，則 Microsoft 會將該漏洞視為零時差漏洞。

目前修補的漏洞被暱稱為“DogWalk”，並被追蹤為 CVE-2022-34713。其正式名稱是 Microsoft Windows 支援診斷工具 (MSDT) 遠端程式碼執行漏洞。

安全研究人員 Imre Rad 在 2020 年 1 月發現了這個漏洞，但微軟拒絕發布補丁，因為他們確定這不是安全漏洞。

不過，在發現微軟Office MSDT漏洞後，研究人員再次向微軟報告，以便DogWalk能夠得到修補。最後，微軟在周二補丁更新中承認並修復了這個問題。

另一個已修補的零時差漏洞被認定為 CVE-2022-30134 - Microsoft Exchange 資訊外洩漏洞。它允許駭客閱讀受害者的電子郵件。

微軟表示，CVE-2022-30134 已公開披露，但沒有跡象表明它已被利用。

2021 年 9 月星期二補丁

微軟剛剛正式發布了 2021 年 9 月補丁星期二安全更新，修復 Windows 上的兩個零日漏洞和其他 60 個漏洞，其中包括 3 個嚴重漏洞、1 個中度漏洞和 56 個重要漏洞。如果算上 Microsoft Edge 漏洞，本月的修補程式星期二更新總共修復了多達 86 個漏洞。

修補的 86 個漏洞包括：

• 27個漏洞導致提權攻擊
• 2個漏洞繞過安全功能
• 16個遠端程式碼執行漏洞
• 11個資訊外洩漏洞
• 1 個拒絕服務 (DoS) 漏洞
• 8個欺騙漏洞

星期二補丁修復了兩個零日漏洞

2021 年 9 月修補程式星期二更新最值得注意的一點是，它提供了兩個零日漏洞的修復：CVE-2021-40444（也稱為 MSHTML 漏洞）和 CVE-2021-36968。其中，MSHTML正被駭客積極利用。

MSHTML 被認為是一個嚴重的漏洞。當駭客最近在駭客論壇上分享利用該漏洞的方法時，事情變得更加嚴重。基於此，任何駭客都可以創建自己的利用方法。

關於MSHTML漏洞的詳細資訊可以參考這裡：

• 駭客論壇上分享了威脅數百萬 Windows 用戶的零日漏洞

微軟建議用戶盡快安裝2021年9月補丁星期二更新。若要安裝，請前往“設定”>“Windows 更新”，然後按下“檢查更新”按鈕並繼續安裝。

• 微軟正式修補了 Windows 10 2004 上仍有網路的情況下無法上網的問題