CISA 在漏洞列表中添加了三个 Microsoft 周二补丁漏洞

美国最高网络安全机构警告称，黑客正在利用微软周二披露的三个漏洞。

网络安全和基础设施安全局 (CISA) 添加 周二，CVE-2023-36033、CVE-2023-36025 和 CVE-2023-36036 被添加到其已知利用的漏洞目录中，联邦民事机构在 12 月 5 日之前修复这些问题。

几位不同的网络安全专家表示，这三个漏洞在微软公司披露的数十个漏洞中脱颖而出。 周二最新补丁 发布。

CVE-2023-36033（影响 Microsoft Windows 桌面窗口管理器）尤其值得关注，因为它是一个 CVSS 评分为 7.8 的零日漏洞，无需高级权限或用户交互即可被利用。 零日漏洞是开发人员或防御者以前不知道的漏洞。

“利用此缺陷的攻击者可以获得系统权限，使其成为提升权限的有效方法，特别是在通过网络钓鱼等方法进行初始访问之后。 它影响 Microsoft Windows 10 及更高版本，以及 Microsoft Windows Server 2019 及后续版本。”网络安全公司 Action1 总裁兼联合创始人 Mike Walters 表示。

沃尔特斯指出，微软已经确认概念验证可用，并且目前正在被利用。

Immersive Labs 的 Natalie Silva 表示，Windows 桌面窗口管理器可以处理窗口合成、视觉效果和桌面渲染等任务。 例如，在发送恶意文档后，黑客可以利用该漏洞来提升他们在受害者网络中的访问权限。

同样，CVE-2023-36036 与 Qualys 漏洞和威胁研究经理 Saeed Abbasi 相关，因为它影响 Windows 云文件迷你过滤器驱动程序，这是 Windows 系统上云存储文件运行所必需的组件。

图片来源：CISA

“该驱动程序在几乎所有 Windows 版本中广泛存在，放大了风险，提供了广泛的攻击面。 它目前正受到主动攻击，并构成重大风险，特别是与代码执行错误结合使用时，”Abbasi 说。

Immersive Labs 威胁研究高级总监 Kev Breen 补充说，安全产品也使用微型过滤器驱动程序，并且根据漏洞和利用的性质，安全工具可能会错过它。

Walters 表示，CVE-2023-36036 与 CVE-2023-36033 具有相同的特征，CVSS 评分为 7.8，影响 Microsoft Windows 10 及更高版本以及 Microsoft Windows Server 2008 及更高版本。

添加的第三个漏洞是 CVE-2023-36025，它的 CVSS 分数是所有漏洞中最高的。 Breen 表示，该漏洞的评分为 8.8 分（满分 10 分），并且会影响 Windows SmartScreen 安全功能。

“微软被列为在野外被攻击者积极利用的漏洞，并且存在 SmartScreen 安全功能绕过问题，但微软对这里的细节非常轻描淡写，只是说已经检测到了该漏洞，并且为了利用此漏洞，用户必须单击特制的快捷方式链接（.url）或快捷方式文件的超链接，”他说。

“Windows 使用 SmartScreen 来防止网络钓鱼攻击或访问恶意网站以及下载不受信任或潜在恶意的文件。 此漏洞表明攻击者可以使用特制文件来绕过此检查，从而降低操作系统的整体安全性。”

Breen 指出，组织不应仅仅依赖 SmartScreen，这应该是深入防御态势的一部分，其中包括其他工具和流程，以帮助提供整体网络弹性。

该漏洞并不复杂，也不需要很高的权限即可利用。 沃尔特斯表示，它允许黑客绕过 Windows Defender SmartScreen 检查和提示。 利用该漏洞，攻击者可以阻止 Windows Smart Screen 拦截恶意软件。

CISA 表示，目前尚不清楚勒索软件团伙是否正在利用这些漏洞。 微软总共公布了 58 个漏洞和 5 个零日漏洞，其中 3 个已添加到 CISA 目录中。

思科, 土坯, 谷歌, 飞塔， 和 其他公司 与微软一起宣布漏洞。

乔纳森·格雷格

乔纳森·格雷格 (Jonathan Greig) 是 Recorded Future News 的突发新闻记者。 乔纳森自 2014 年以来一直在全球范围内担任记者。在回到纽约市之前，他曾在南非、约旦和柬埔寨的新闻媒体工作。 他之前曾在 ZDNet 和 TechRepublic 报道过网络安全。