CISA 警告说，攻击者现在正在利用一个关键的 Microsoft SharePoint 权限提升漏洞，该漏洞可以与另一个关键漏洞相结合以实现远程代码执行。 该安全漏洞的编号为CVE-2023-29357，该安全漏洞使远程攻击者能够通过使用欺骗性 JWT 身份验证令牌绕过身份验证，从而在未修补的服务器上获得管理员权限。 微软在公告中解释说：“获得欺骗性 JWT 身份验证令牌的攻击者可以使用它们来执行网络攻击，绕过身份验证并允许他们获得经过身份验证的用户的权限。” “成功利用此漏洞的攻击者可以获得管理员权限。攻击者不需要任何权限，用户也不需要执行任何操作。” 将此缺陷与CVE-2023-24955 SharePoint Server 远程代码执行漏洞链接起来时，远程攻击者还可以通过命令注入在受感染的 SharePoint 服务器上执行任意代码。 STAR Labs 研究员Jang (Nguyễn Tiến Giang)在去年 2023 年 3 月于温哥华举行的 Pwn2Own 竞赛中成功演示了这个 Microsoft SharePoint Server 漏洞链，并获得了 100,000 美元的奖励。 研究人员于 9 月 25 日发布了一份技术分析报告，详细描述了利用过程。演示视频链接：https://youtu.be/x0DPpVh8fO4 就在一天后，一名安全研究人员还在 GitHub 上发布了 CVE-2023-29357 概念验证漏洞。 尽管该漏洞无法在目标系统上远程执行代码，但由于它不是 Pwn2Own 演示的链的完整漏洞，其作者表示，攻击者可以将其与 CVE-2023-24955 漏洞本身链接起来进行 RCE。 PoC 漏洞利用的开发人员表示：“该脚本会输出管理员用户的详细信息，并且可以在单一和大规模利用模式下运行。该脚本不包含执行 RCE 的功能，并且仅用于教育目的以及合法和授权的测试。” 之后，该漏洞利用链的其他 PoC 漏洞在网上出现，降低了漏洞利用门槛，甚至允许技能较低的攻击者在野外利用中部署它。 虽然尚未提供有关 CVE-2023-29357 主动利用的更多详细信息，但 CISA 已将该漏洞添加到其已知被利用的漏洞目录中，现在要求美国联邦机构在本月底（即 1 月 31 日）之前修复该漏洞。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/5wNwPmKzFjfYqB-D6wc-QA 封面来源于网络，如有侵权请联系删除

欧洲、美国和亚洲暴露在公共互联网上的数万台 Microsoft Exchange 电子邮件服务器容易受到远程代码执行漏洞的影响。 邮件系统运行的软件版本目前不受支持，并且不再接收任何类型的更新，容易受到多个安全问题的影响，其中一些问题的严重程度非常严重。 已终止支持的Exchange Server 2007 仍在运行 ShadowServer Foundation 的互联网扫描显示，目前可通过公共互联网访问的近 20,000 台 Microsoft Exchange 服务器已达到生命周期结束 (EoL) 阶段。 周五，超过一半的系统位于欧洲。在北美，有 6,038 个 Exchange 服务器，在亚洲有 2,241 个实例。 已终止支持的 Microsoft Exchange 服务器仍在运行 Foundation ShadowServer 的统计数据可能无法显示完整情况，因为 Macnica 安全研究员Yutaka Sejiyama发现有超过 30,000 台 Microsoft Exchange 服务器已终止支持。 根据 Sejiyama 对 Shodan 的扫描，11 月底，公共网络上有 30,635 台计算机安装了不受支持的 Microsoft Exchange 版本： 275 个Exchange     Server 2007 实例 4,062 个Exchange     Server 2010 实例 26,298 个Exchange     Server 2013 实例 远程代码执行漏洞风险 研究人员还比较了补丁更新率，发现自今年 4 月以来，全球 EoL Exchange 服务器数量仅从 43,656 台下降了 18%，Sejiyama 认为下降幅度还不够。 “即使是最近，我仍然看到这些漏洞被利用的新闻，现在我明白了原因。许多服务器仍处于脆弱状态。”——Yutaka Sejiyama ShadowServer 基金会强调，在公共网络上发现的过时的 Exchange 计算机容易受到多个远程代码执行漏洞的影响。 一些运行旧版本 Exchange 邮件服务器的计算机容易受到ProxyLogon的攻击，这是一个编号为 CVE-2021-26855 的严重安全问题，可以与被识别为 CVE-2021-27065 的不太严重的错误链接起来以实现远程代码执行。 Sejiyama 表示，根据扫描期间从系统获得的内部版本号，有近 1,800 个 Exchange 系统容易受到 ProxyLogon、ProxyShell或ProxyToken漏洞的影响。 ShadowServer指出，扫描中的机器容易受到以下安全漏洞的影响： CVE-2020-0688 CVE-2021-26855  – ProxyLogon CVE-2021-27065  – ProxyLogon 漏洞利用链的一部分 CVE-2022-41082 –     ProxyNotShell 漏洞利用链 的一部分 CVE-2023-21529 CVE-2023-36745 CVE-2023-36439 上述大多数漏洞微软将它们标记为“重要”级别。此外，除了在攻击中被利用的 ProxyLogon 链外，所有这些链都被标记为“更有可能”被利用。 即使仍在运行过时 Exchange 服务器的公司已经实施了可用的缓解措施，该措施也还不够，因为 Microsoft 建议优先在面向外部的服务器上安装更新。 对于达到支持终止的实例，剩下的唯一选择是升级到仍至少收到安全更新的版本。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/azwDBy2YQc8gyDrnx5X9Lw 封面来源于网络，如有侵权请联系删除

今天是微软的 2023 年 11 月补丁日，微软修复了58 个缺陷，其中包括 5 个0day。 本月更新修复了 14 个远程代码执行 (RCE) 漏洞，微软将其中一个评为严重级。今天修复的三个关键漏洞是 Azure 信息泄露错误、Windows Internet 连接共享 (ICS) 中的 RCE 漏洞以及允许在具有 SYSTEM 权限的主机上执行程序的 Hyper-V 转义缺陷。 下面列出了每个漏洞类别中的漏洞数量： 16 个特权提升漏洞 6 个安全功能绕过漏洞 15 个远程代码执行漏洞 6 个信息泄露漏洞 5 个拒绝服务漏洞 11 个欺骗漏洞 58 个漏洞的总数不包括本月早些时候发布的 5 个 Mariner 安全更新和 20 个 Microsoft Edge 安全更新。 三个被积极利用的0day漏洞： CVE-2023-36036 – Windows 云文件微型筛选器驱动程序特权提升漏洞 Microsoft 修复了一个经常被利用的 Windows 云文件迷你过滤器权限提升错误。 微软解释说：“成功利用此漏洞的攻击者可以获得系统权限。” 目前尚不清楚该缺陷是如何在攻击中被滥用的，也不清楚是由哪些攻击者滥用的。 该漏洞是由 Microsoft 威胁情报 Microsoft 安全响应中心内部发现的。 CVE-2023-36033 – Windows DWM 核心库特权提升漏洞 Microsoft 修复了一个被积极利用并公开披露的 Windows DWM 核心库漏洞，该漏洞可用于提升 SYSTEM 权限。 微软解释说：“成功利用此漏洞的攻击者可以获得系统权限。” 微软表示该漏洞是由 DBAPPSecurity WeBin Lab 的 Quan Jin(@jq0904) 发现的 ， 但没有透露如何在攻击中使用它们的详细信息。 CVE-2023-36025 – Windows SmartScreen 安全功能绕过漏洞 一个经常被利用的 Windows SmartScreen 缺陷，该缺陷允许恶意 Internet 快捷方式绕过安全检查和警告。 微软解释说：“攻击者将能够绕过 Windows Defender SmartScreen 检查及其相关提示。” 用户必须单击特制的 Internet 快捷方式 (.URL) 或指向 Internet 快捷方式文件的超链接，才会受到攻击者的攻击。 该漏洞是由 Will Metcalf (Splunk)、微软威胁情报和微软 Office 产品组安全团队发现的。 另外两个公开披露的0day漏洞“CVE-2023-36413 – Microsoft Office 安全功能绕过漏洞”和“CVE-2023-36038 – ASP.NET Core 拒绝服务漏洞”，这两个漏洞也进行了修复。微软表示，它们并未在攻击中被积极利用。 本周，Adobe 推出了大量安全修复程序，以覆盖其 Acrobat 和 Reader、ColdFusion、inDesign、inCopy 和 Audition 产品中的严重缺陷。 Adobe 记录了 72 个不同的安全漏洞，并呼吁特别关注广泛部署的 Adobe Acrobat 和 Reader 软件中的代码执行缺陷。 在一份漏洞严重性公告中，Adobe 记录了至少 17 个 Acrobat 和 Reader 错误，这些错误使未修补的 Windows 和 macOS 系统面临任意代码执行和内存泄漏风险。 Adobe 还针对至少六个不同的 ColdFusion 漏洞发布了补丁，这些漏洞可能导致任意代码执行和安全功能绕过。ColdFusion 漏洞被标记为严重级别并影响 2023 和 2021两个版本。     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zF0YJhQt56nC1L5RsrBD4Q 封面来源于网络，如有侵权请联系删除

这些漏洞可被远程利用，来执行任意代码或泄露有关易受攻击的敏感信息。专业APT组织十分偏爱利用Exchange高危漏洞发起针对性攻击，微软对这几个漏洞反应迟缓逼着趋势科技提前披露漏洞信息的作法令人不解。 趋势科技披露了 Microsoft Exchange 中的四个0Day漏洞，经过身份验证的攻击者可以远程利用这些漏洞来执行任意代码或泄露有关易受攻击的敏感信息。 趋势科技于 2023 年 9 月 7 日至 8 日向微软报告了这些漏洞，微软承认了这些漏洞，但至今尚未修复这些漏洞。趋势科技选择根据其负责任的披露政策公开披露该漏洞。 以下是 ZDI 披露的缺陷列表： ZDI-23-1578 – Microsoft Exchange ChainedSerializationBinder 不受信任数据反序列化远程代码执行漏洞 此漏洞允许远程攻击者在受影响的 Microsoft Exchange 安装上执行任意代码。需要进行身份验证才能利用此漏洞。该特定缺陷存在于 ChainedSerializationBinder 类中。该问题是由于缺乏对用户提供的数据进行适当验证而导致的，这可能会导致不受信任的数据被反序列化。攻击者可以利用此漏洞在 SYSTEM 上下文中执行代码。 ZDI-23-1579 – Microsoft Exchange DownloadDataFromUri 服务器端请求伪造信息泄露漏洞 此漏洞允许远程攻击者泄露有关受影响的 Microsoft Exchange 安装的敏感信息。需要进行身份验证才能利用此漏洞。DownloadDataFromUri 方法中存在特定缺陷。该问题是由于在访问资源之前缺乏对 URI 的正确验证而导致的。攻击者可以利用此漏洞泄露 Exchange 服务器上下文中的信息。 ZDI-23-1580 – Microsoft Exchange DownloadDataFromOfficeMarketPlace 服务器端请求伪造信息泄露漏洞 此漏洞允许远程攻击者泄露有关受影响的 Microsoft Exchange 安装的敏感信息。需要进行身份验证才能利用此漏洞。DownloadDataFromOfficeMarketPlace 方法中存在特定缺陷。该问题是由于在访问资源之前缺乏对 URI 的正确验证而导致的。攻击者可以利用此漏洞泄露 Exchange 服务器上下文中的信息。 ZDI-23-1581 – Microsoft Exchange CreateAttachmentFromUri 服务器端请求伪造信息泄露漏洞 此漏洞允许远程攻击者泄露有关受影响的 Exchange 安装的敏感信息。需要进行身份验证才能利用此漏洞。该特定缺陷存在于 CreateAttachmentFromUri 方法中。该问题是由于在访问资源之前缺乏对 URI 的正确验证而导致的。攻击者可以利用此漏洞泄露 Exchange 服务器上下文中的信息。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Hg_uVPWAhvV931d2NPbPyw 封面来源于网络，如有侵权请联系删除

近期Microsoft发布了一个带外(OOB)Windows更新，以解决安装6月补丁更新后出现的导致ARM设备上Azure Active Directory和 Microsoft 365登录问题。OOB更新将通过Windows更新自动安装，用户也可以通过Microsoft更新目录手动下载和安装（适用于Windows 10的KB5016139和适用于Windows 11的KB5016138）。对此，微软在公告中表示，该问题仅影响基于Windows ARM的设备，并可能阻止用户使用 Azure Active Directory (AAD) 登录，使用AAD登录的应用程序和服务也可能会受到影响，例如 VPN 连接、Microsoft Teams 和 Microsoft Outlook。 受此问题影响的Windows版本包括多个客户端平台：Windows 11 21H2、Windows 10 21H2、Windows 10 21H1 和 Windows 10 20H2。根据向Microsoft 365发布的服务警示，一些受影响的场景包括但不限于以下内容： 使用 Azure Active Directory (Azure AD) 登录的应用和服务 VPN 连接 微软团队桌面 企业版 OneDrive Outlook 桌面客户端 “这次OOB更新是累积的。如果您使用的是2022年6月14日前发布的更新，我们建议您安装本次OOB更新，而不是2022年6月14日的安全更新，” Redmond说，“如果您安装了较早的更新，则只会下载此软件包中包含的新更新并将其安装在您的设备上。” 该公司在首次发现问题时就给出了解决方案，如果一些无法立即安装更新的用户可以考虑应用该方案。根据微软的说法，想要使用受影响的应用程序的客户应该转向该产品的网页版本。 2022年6月的Windows更新还受到其他问题的困扰，例如用户在最新的客户端和服务器系统上使用Wi-Fi热点时遇到连接问题，以及路由和远程访问服务(RRAS)启用的服务器上的VPN和RDP连接问题。本月的更新还可能导致Windows Server系统出现备份问题，由于解决特权升级安全漏洞的安全强制措施(CVE-2022-30154)，应用程序无法使用卷影复制服务(VSS)备份数据。   转自 Freebuf，原文链接：https://www.freebuf.com/news/336760.html 封面来源于网络，如有侵权请联系删除

据调查，在近半年的时间里，英国国家卫生系统(NHS)的100多名员工的工作电子邮件帐户被多次用于网络钓鱼活动，其中一些活动旨在窃取Microsoft登录信息。在劫持合法的NHS电子邮件帐户后，这些攻击者于去年10月开始使用它们，并至少在今年4月之前将其继续用于网络钓鱼活动。据电子邮件安全INKY的研究人员称，已经从英格兰和苏格兰员工的NHS电子邮件帐户发送出1000多条网络钓鱼邮件。 研究人员跟踪了来自NHS的两个IP地址的欺诈性消息，这些IP地址来自139名NHS员工的电子邮件帐户。INKY在其客户中检测到来自这两个地址的1,157封欺诈性电子邮件。随后NHS也确认这两个地址是用于管理大量账户的邮件系统。 在大多数情况下，网络钓鱼邮件带有虚假链接，根据邮件提示需要点击链接才能执行下一步操作，而虚假链接则会跳转到要求填写Microsoft凭据的钓鱼网站上面。为了使电子邮件更加可信，攻击者在邮件底部添加了NHS保密免责声明。 在INKY研究人员收集的其他样本中，网络钓鱼邮件通过添加公司徽标来冒充Adobe和Microsoft等品牌。并且钓鱼活动的范围很广泛，除了试图窃取凭证之外，还有一些预付费用的情况，比如攻击者告知接受者有200万美元的巨额捐款。当然，接收资金需要潜在受害者以个人详细信息（例如全名和地址、手机号码）的形式支付费用。 甚至还有人使用了Shyann Huels 的名字并假装自己是“杰夫·贝索斯先生的国际事务特别秘书”。 上图中的相同名称和消息已在4月初的诈骗中出现，该操作背后的个人拥有一个加密货币钱包地址，该地址收到了大约4.5个比特币，目前价值约 171,000 美元。 自从发现网络钓鱼活动以来，INKY一直与NHS保持联系。这家英国机构在4月中旬之后通过从本地 Microsoft Exchange 部署切换到云服务来解决风险。这一举措确实起到了不错的效果，虽然INKY客户继续收到欺诈信息，但数量要少得多。这是由于NHS为该国数以万计依赖各种技术解决方案的组织（例如医院、诊所、供应商、医生办公室）提供了基础设施。INKY的安全战略副总裁Roger Kay强调说，这些活动不是入侵 NHS电子邮件服务器的结果，而是单独劫持了帐户。   转自 FreeBuf ，原文链接：https://www.freebuf.com/articles/332063.html 封面来源于网络，如有侵权请联系删除