微软本月修补了三个零日漏洞

微软本月仅发布了38个cve的修复程序，其中包括三个零日漏洞。

尽管本月的补丁星期二更新是今年最小的更新之一，但专家警告说，系统管理员应该迅速采取行动，修补零日漏洞，其中两个漏洞正在被积极利用。

第一个是CVE-2023-29336, Win32k中的特权提升漏洞，授予攻击者系统特权，允许他们升级访问权限。尽管攻击者首先必须拥有系统上的基本权限，但通过网络钓鱼攻击或凭证收集很容易做到这一点。

Action1漏洞和威胁研究副总裁Mike Walters解释说：“它有一个本地攻击向量，这意味着攻击者需要访问目标系统。攻击的复杂性很低，需要最少的权限，不需要用户交互。”

到目前为止，没有变通办法或替代解决方案可用，因此安装更新是降低风险和确保系统安全的最有效方法。

第二个被积极利用的CVE是CVE-2023-24932:一个低复杂度的安全引导安全功能绕过错误，也不需要用户交互。

Walters说：“攻击者需要物理或管理员访问目标系统来利用CVSS 6.7级漏洞。”

他解释说:“成功利用这个漏洞可以让攻击者绕过安全引导，从而在Windows启动期间加载没有微软信任签名的恶意驱动程序或恶意软件。”

为了解决这个漏洞，已经发布了一个安全更新来更新Windows引导管理器。但是，需要注意的是，此更新在默认情况下是不启用的。要减轻该漏洞，您必须遵循Microsoft文章KB5025885中详细介绍的三个基本步骤。

本月最后一个零日补丁是CVE-2023-29325: Windows OLE中一个严重的远程代码执行错误。该漏洞的概念验证是可用的，这意味着在野外的攻击将不会太遥远。

Silverfort的高级研究员Yoav Iellin解释说:“有了这个漏洞，在Outlook预览窗格中浏览精心制作的恶意电子邮件的简单行为就足以启用远程代码执行，并可能危及收件人的计算机。”

他说：“在这个阶段，我们认为Outlook用户将是主要的攻击对象，尽管它也有可能被用于其他Office程序。我们建议确保客户的Windows机器和Office软件完全更新，并考虑在部署补丁时遵循微软提供的解决方案。”