CCERT 月報(bào)Windows 啟用全新月度更新模式

為配合修訂后的《商用密碼管理?xiàng)l例》施行，國家密碼管理局近期發(fā)布了《商用密碼檢測(cè)機(jī)構(gòu)管理辦法（征求意見稿）》和《商用密碼應(yīng)用安全性評(píng)估管理辦法（征求意見稿）》，向社會(huì)公開征求意見，意見征求截止日期為2023 年7 月9 日。文件提出了細(xì)化落實(shí)密碼工作“三同步一評(píng)估”的具體要求、體現(xiàn)了商用密碼應(yīng)用安全性評(píng)估工作系統(tǒng)性原則、明確了商用密碼應(yīng)用安全性評(píng)估活動(dòng)的實(shí)施依據(jù)，為后期正式開展密評(píng)工作提供了具體的指導(dǎo)。

近期的安全投訴事件呈下降趨勢(shì)。近期沒有新增影響特別嚴(yán)重的病毒木馬，需要關(guān)注的還是各類釣魚郵件。

近期新增嚴(yán)重漏洞評(píng)述：

1.微軟2023 年6 月的例行安全更新共涉及漏洞數(shù)85 個(gè)，其中嚴(yán)重等級(jí)的4 個(gè)、重要等級(jí)的54 個(gè)、一般等級(jí)的24 個(gè)、低危等級(jí)的3 個(gè)。這些漏洞中沒有已被或是正在被利用的0day，值得關(guān)注的是CVSS評(píng)分高的幾個(gè)漏洞：

微軟SharePoint Server 特權(quán)提升漏洞（CVE-2023-29357）。其CVSSv3評(píng)分為9.8，獲得欺騙性JWT 身份驗(yàn)證令牌的威脅者可以使用這些令牌執(zhí)行網(wǎng)絡(luò)攻擊，從而繞過身份驗(yàn)證，并可能獲得管理員權(quán)限。

微軟Exchange Server 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2023-32031、CVE-2023-28310）。前一個(gè)漏洞CVSSv3評(píng)分為8.8，后一個(gè)評(píng)分為8.0。利用上述漏洞，攻擊者可以嘗試通過網(wǎng)絡(luò)調(diào)用在服務(wù)器賬戶的上下文中觸發(fā)惡意代碼。

Windows Pragmatic General Multicast（PGM）遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2023-29363、CVE-2023-32014、CVE-2023-32015）。上述漏洞的CVSSv3 評(píng)分均為9.8，當(dāng)Windows 消息隊(duì)列服務(wù)運(yùn)行在PGM Server 環(huán)境中時(shí)，攻擊者可以通過網(wǎng)絡(luò)發(fā)送特制文件來實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

2023 年5 月～6 月CCERT 安全投訴事件統(tǒng)計(jì)

鑒于上述漏洞的危害性，建議用戶盡快使用系統(tǒng)自帶的更新功能進(jìn)行補(bǔ)丁安裝。

2.Fortinet（飛塔）是國際著名的安全產(chǎn)品廠商，F(xiàn)ortiOS 是安全產(chǎn)品的操作系統(tǒng)，近期Fortinet 發(fā)布了安全公告，修補(bǔ)其之前產(chǎn)品中存在的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2023-27997）。由于FortiOS 的SSL VPN 功能中存在一個(gè)基于堆溢出的漏洞，使得未經(jīng)身份驗(yàn)證的攻擊者利用該漏洞可以遠(yuǎn)程控制安全設(shè)備或使安全設(shè)備崩潰。建議使用相關(guān)設(shè)備的管理員盡快聯(lián)系廠商進(jìn)行版本更新。

3.Google 發(fā)布了Chrome 瀏覽器的最新版本，用于修補(bǔ)一個(gè)影響V8 JavaScript 引擎的類型混淆的安全漏洞（CVE-2023-3079）。

4.近期VMware 官方發(fā)布了安全公告，修補(bǔ)VMware vCenter Server 中的多個(gè)安全漏洞，建議使用相關(guān)產(chǎn)品的管理員盡快對(duì)vCenter進(jìn)行升級(jí)。公告中修補(bǔ)的漏洞包括：

vCenter Server 堆溢出漏洞（CVE-2023-20892）。由于在DCERPC 協(xié)議的實(shí)現(xiàn)中使用了未初始化的內(nèi)存，對(duì)vCenter Server 有網(wǎng)絡(luò)訪問權(quán)的攻擊者可利用該漏洞在VCenter Server 管控的底層操作系統(tǒng)上執(zhí)行任意代碼。

vCenter Server 釋放后重用漏洞（CVE-2023-20893）。對(duì)vCenter Server 有網(wǎng)絡(luò)訪問權(quán)的攻擊者可利用該漏洞在VCenter Server 管控的底層操作系統(tǒng)上執(zhí)行任意代碼。

vCenter Server 越界寫入漏洞（CVE-2023-20894）。對(duì)vCenter Server 有網(wǎng)絡(luò)訪問權(quán)的攻擊者可利用該漏洞在VCenter Server管控的底層操作系統(tǒng)上執(zhí)行任意代碼。

vCenter Server 越界讀取漏洞（CVE-2023-20895、CVE-2023-20896）。對(duì)vCenter Server 有網(wǎng)絡(luò)訪問權(quán)的攻擊者可利用該漏洞在VCenter Server 管控的底層操作系統(tǒng)上越界讀取數(shù)據(jù)，導(dǎo)致拒絕服務(wù)攻擊。

安全提示

微軟近期啟用了全新的更新服務(wù)模式，自2023 年6 月起，系統(tǒng)的更新將會(huì)分隔成security-only 和security monthly rollup 兩個(gè)部分，securityonly 更新會(huì)包含這個(gè)月的所有全新安全更新，于每個(gè)月第2 個(gè)星期二進(jìn)行發(fā)布，不過security-only 不會(huì)經(jīng)由系統(tǒng)自帶的Windows Update 推送，而是通過Windows Server Update Services（WSUS）來發(fā)布，這將有助于企業(yè)內(nèi)部更好地管理安全更新。Security monthly rollup則通過Windows Update 方式進(jìn)行發(fā)布，它包含本月所有的安全修復(fù)和之前已經(jīng)發(fā)布的安全更新（類似之前累積安裝包），所以用戶只需要安裝最新的Rollup 就能讓電腦保持最新狀態(tài)。security monthly rollup 的推送日期將會(huì)是每個(gè)月第3 個(gè)星期二。