微软 2023年3月的补丁星期二更新正在推出,修复了一组80个安全漏洞,其中两个已在野外被积极利用。80个错误中有8个被评为严重,71个被评为重要,1个严重程度被评为中等。
其中,受到主动攻击的两个漏洞包括 Microsoft Outlook 权限提升漏洞(CVE-2023-23397,CVSS 评分:9.8)和 Windows SmartScreen 安全功能绕过漏洞(CVE-2023-24880,CVSS 评分:5.1)。
CVE-2023-23397 是“当攻击者发送带有扩展 MAPI 属性的消息时触发的,该消息带有 UNC 路径到威胁参与者控制的服务器上的 SMB (TCP 445) 共享,”微软在独立公告中表示。
威胁行为者可以通过发送特制电子邮件来利用此漏洞,并在 Windows 的 Outlook 客户端检索和处理时自动激活它。因此,这可能会导致在不需要任何用户交互的情况下甚至在预览窗格中查看消息之前就进行利用。
微软将漏洞报告归功于乌克兰计算机应急响应小组(CERT-UA),并补充说它知道俄罗斯的威胁行为者对欧洲的政府、交通、能源和军事部门发起了“有限的有针对性的攻击”。[阅读原文]
发表评论
您还未登录,请先登录。
登录