Sign in

Member Benefits

Get Demands

View Business Cards

Exclusive Service

Noble Identity

AS LOW AS 1.5U /DAY

微軟10月Patch Tuesday修補103個安全漏洞,其中3個已遭攻擊

Share

2023-10-11

微軟揭露了涉及WordPad、Skype for Business以及HTTP/2協定的零時差漏洞,以及9個影響L2TP網路協定的遠端程式執行重大漏洞

至於要利用Skype的CVE-2023-41763漏洞則需執行一個特製的網路通話至Skype for Business伺服器上,可能導致一個對任意位址的HTTP請求,進而揭露IP位址與傳輸埠編號,此一漏洞的CVSS風險評分亦不高,但微軟警告,所外洩的資訊可能被駭客用來入侵內部網路。

CVE-2023-44487無疑是近年來最嚴重的分散式服務阻斷(DDoS)漏洞,且自今年8月底以來便持續遭到駭客利用,儘管該漏洞存在於HTTP/2協定中,但所有導入該協定的產品與服務都受到波及,除了修補產品及服務之外,微軟也提出了暫時補救措施,建議用戶可藉由登錄編輯程式關閉HTTP/2協定。

由於上述3個已遭濫用的漏洞都無法被用來執行任意程式,因此就算已實際遭到攻擊,仍皆僅被列為重要(Important)漏洞。

而在13個重大漏洞中,就有9個屬於L2TP的遠端程式執行漏洞(CVE-2023-38166、CVE-2023-41765、CVE-2023-41767、CVE-2023-41768、CVE-2023-41769、CVE-2023-41770、CVE-2023-41771、CVE-2023-41773、CVE-2023-41774)。L2TP是個用來建立虛擬私有網路(VPN)的網路協定,雖然這9個分屬不同的漏洞,但它們皆為競爭條件漏洞,允許未經授權的駭客藉由傳送一個特定的協定訊息至路由及遠端存取服務(Routing and Remote Access Service,RRAS),進而於RAS伺服器上執行任意程式。

這次修補的漏洞中,最嚴重的當屬CVSS風險評分高達9.8的CVE-2023-35349,此為微軟訊息佇列(Message Queuing)的遠端程式執行漏洞,不需使用者互動就能展開攻擊。而且這次總計有20個漏洞與訊息佇列有關,當中的CVE-2023-35349與CVE-2023-36697被列為重大等級。

微軟的訊息佇列(Message Queuing)技術可讓異質網路與系統上,於不同時間執行的應用程式能夠彼此通訊,應用程式可傳送訊息至佇列,或是自佇列讀取訊息。它是個必須手動啟用的Windows元件,微軟建議用戶可檢查系統所執行的服務與TCP 1801埠來判斷是否啟用了該服務。

Disclaimer:
Details

Please Play Responsibly:

Casino Games Disclosure: Select casinos are licensed by the Malta Gaming Authority. 18+