近日，安全專家建議IT團隊應優(yōu)先修補兩個零日漏洞，一個是微軟Outlook的認證機制，另一個是web標記的繞過。這兩個漏洞是微軟在其3月補丁星期二安全更新中披露的74個安全漏洞的一部分。

在一篇博文中，Automox的研究人員建議企業(yè)在24小時內(nèi)修補這兩個漏洞，因為攻擊者正在野外利用它們。此外，3月更新中的幾個關鍵漏洞能夠?qū)崿F(xiàn)遠程代碼執(zhí)行（RCE），因此它們也是需要高度優(yōu)先修補的。

特權升級零日

其中一個零日是微軟Outlook中的一個關鍵的權限升級漏洞，被追蹤為CVE-2023-23397，它允許攻擊者訪問受害者的Net-NTLMv2挑戰(zhàn)-回應認證哈希，然后冒充用戶。

該漏洞的危險之處在于，攻擊者只需發(fā)送一封特制的電子郵件，在用戶在預覽窗口中查看該郵件之前，Outlook就會檢索并處理該郵件。

Tenable公司的高級研究工程師評論說：這是因為該漏洞是在電子郵件服務器端觸發(fā)的，這意味著在受害者查看惡意郵件之前就會被利用。攻擊者可以使用受害者的Net-NLMv2哈希值進行攻擊，利用NTLM挑戰(zhàn)-響應機制，讓對手以用戶身份進行認證。

ZDI研究員在博文中補充說，這使得該漏洞更像是一個認證繞過漏洞，而不是一個權限升級問題。而且，禁用預覽窗口選項并不能減輕威脅，因為該漏洞甚至在這之前就已經(jīng)被觸發(fā)了。

安全繞過零日

微軟將第二個零日漏洞確定為CVE-2023-248，這是一個Windows SmartScreen安全功能繞過問題，攻擊者可以利用它繞過微軟用來識別用戶可能從互聯(lián)網(wǎng)上下載的文件的Mark of the Web指定。

CVE-2023-248 影響到所有運行Windows 10及以上版本的桌面系統(tǒng)和運行Windows Server 2016、2019和2022的系統(tǒng)。

Goettl在一份聲明中說：CVSSv3.1的得分雖然只有5.4，這可能不會引起太多企業(yè)的注意。確實，就其本身而言，CVE可能沒有那么大的威脅，但它很可能被用在一個有其他漏洞的攻擊鏈中。

其他安全漏洞

需要特別注意的一個RCE漏洞是CVE-2023-23415，它存在于網(wǎng)絡設備用來診斷通信問題的互聯(lián)網(wǎng)控制消息協(xié)議（ICMP）中。

微軟表示：攻擊者可以通過使用一個低級別的協(xié)議錯誤來遠程利用這個漏洞，該錯誤在其標題中包含一個碎片化的IP數(shù)據(jù)包，被發(fā)送到目標機器上。該漏洞影響到多個微軟產(chǎn)品，包括Windows 10、Windows 11、Windows Server 2008、2012、2016、2019和2022。

Automox還建議企業(yè)在72小時內(nèi)解決CVE-2023-23416，即Windows加密服務協(xié)議中的一個RCE漏洞。這是因為，除其他外，它影響到所有版本的臺式機Windows 10及以上，以及從Server 2012開始的所有Windows服務器版本。

除了新漏洞的補丁，微軟還在3月的補丁周期中發(fā)布了四個之前漏洞的更新，全部來自2022年。Ivanti說，這次更新擴大了受漏洞影響的微軟軟件和應用程序的數(shù)量，并為它們提供了補丁。該安全廠商將這四個更新補丁列為CVE-2022-43552，CVE-2022-23257，CVE-2022-23825，以及CVE-2022-23816。