跳到主要內容區塊

資通安全專區

[情資發布]微軟發布3月例行更新,修補83個漏洞

內容說明:
3月14日微軟發布3月份例行更新(Patch Tuesday),總共修補了83個漏洞,當中有21個與權限提升有關、27個可被用於遠端執行任意程式碼(RCE)、15個會造成資訊洩露、10個可被用於偽冒、4個可導致服務遭到中斷(DoS)、2個可用於繞過安全功能。

值得留意的是,這次有2個零時差漏洞CVE-2023-23397、CVE-2023-24880,前者出現於Windows版收信軟體Outlook,攻擊者可透過特製的電子郵件,強制目標裝置傳輸Windows使用者帳號的Net-NTLMv2雜湊值,進而提升權限,CVSS風險評分為9.8分。該漏洞為烏克蘭電腦緊急應變小組(CERT-UA)通報,俄羅斯駭客組織APT28(亦稱Fancy Bear)在2022年4月至12月將其用於攻擊行動。

CVE-2023-24880則是能用於繞過Windows安全功能SmartScreen(即MoTW),CVSS風險評分為5.4分。此漏洞為Google威脅情報小組(TAG)通報,並指出勒索軟體Magniber已將其用於攻擊行動,駭客打包的MSI檔案已被下載超過10萬次,逾8成針對歐洲使用者而來。

風險等級:
2

建議措施:
儘速執行3月份例行更新,特別是零時差漏洞CVE-2023-23397、CVE-2023-24880。

最後異動時間:2023-03-17 上午 08:57:22
TOP