微軟於6月11日發布本月例行更新(Patch Tuesday),總共修補49個漏洞,其中有一個零時差漏洞,而引起關注。
此為網域名稱系統安全擴充程式(DNSSEC)的設計缺陷漏洞CVE-2023-50868,存在於DNSSEC驗證機制當中,假如DNS解析器使用NSEC3回應請求,攻擊者可藉由要求來自DNSSEC簽章區域的回應,就有機會讓實作DNSSEC驗證機制的解析器耗盡處理器的運算資源,CVSS風險評為7.5分,微軟為Windows Server 2012至2022版,發布相關的修補程式。
這個漏洞有幾個特別的地方,首先,這項漏洞CVE編號並非微軟自行登記,而是由資安團體MITRE所為,而且,登記的時間在今年2月13日,距微軟發布修補程式間隔達4個月。通報漏洞的資安研究團隊German National Research Center for Applied Cybersecurity ATHENE於今年3月,發布相關學術論文說明細節。但資安業者Rapid7指出,這些研究人員在公布的論文當中,可能淡化了該漏洞的威力,而讓相關機構並未重視如何因應這項漏洞。
值得留意的是,該研究團隊也在今年1月公布另一個名為KeyTrap的DNSSEC漏洞,而受到各界的高度關注,該漏洞被登記為CVE-2023-50387。雖然微軟將這兩項DNSSEC漏洞都歸類為高風險層級,Rapid7的研究人員推測,很有可能微軟認為CVE-2023-50387較為嚴重,因此延後對CVE-2023-50868的處理。
除了前述的DNSSEC漏洞,Rapid7、漏洞懸賞專案Zero Day Initiative(ZDI)皆指出,列為重大漏洞的CVE-2024-30080也需留意,這是Microsoft Message Queuing(MSMQ)的遠端程式碼執行(RCE)漏洞,攻擊者可在未經身分驗證的情況下,在啟用MSMQ功能的電腦上提升權限,從而執行任意程式碼,CVSS風險評分達到9.8。
Rapid7指出,雖然微軟並未透露進一步細節,但這項漏洞利用的複雜程度並不高,不需要取得權限,而且有許多應用程式(如Exchange)將其列為必要元件,後續情況有待觀察。ZDI則指出,透過這項漏洞可發展出網路蠕蟲程式,而有可能橫向感染其他MSMQ伺服器。
熱門新聞
2024-12-24
2024-08-14
2024-12-22
2024-12-20
2024-12-23