根据俄罗斯网络安全公司卡巴斯基的说法，该漏洞已被网络犯罪集团利用，以针对中东、北美和亚洲的中小企业部署Nokoyawa 勒索软件。

“CVE-2023-28252 是越界写入（增量）漏洞，当系统尝试扩展元数据块时可以利用该漏洞，”Larin说。“该漏洞是由对基本日志文件的操作触发的。”

鉴于该漏洞的持续利用，CISA 已将Windows 零日漏洞添加到其已知利用漏洞 ( KEV ) 目录中，命令联邦民用行政部门 (FCEB) 机构在 2023 年 5 月 2 日之前保护其系统。

还修补了影响 DHCP 服务器服务、第 2 层隧道协议、原始图像扩展、Windows 点对点隧道协议、Windows 实用通用多播和 Microsoft 消息队列 (MSMQ) 的关键远程代码执行缺陷。

MSMQ 漏洞被追踪为CVE-2023-21554（CVSS 分数:9.8）并被 Check Point 称为 QueueJumper，它可能导致未经授权的代码执行并通过向 MSMQ 服务器发送特制的恶意 MSMQ 数据包来接管服务器。

Check Point 研究员 Haifei Li表示:“CVE-2023-21554 漏洞允许攻击者通过到达 TCP 端口 1801 来远程执行代码，并且无需授权。 ” “换句话说，攻击者只需将一个数据包发送到带有漏洞的 1801/tcp 端口，就可以控制该过程，从而触发该漏洞。”

MSMQ 中发现的另外两个缺陷CVE-2023-21769和CVE-2023-28302（CVSS 分数:7.5）可被利用导致拒绝服务 (DoS) 情况，例如服务崩溃和 Windows 蓝屏死亡（蓝屏）。

Microsoft 还更新了其针对CVE-2013-3900 的公告，这是一个已有 10 年历史的 WinVerifyTrust 签名验证漏洞，包括以下服务器核心安装版本 -

适用于 32 位系统的 Windows Server 2008 Service Pack 2

适用于基于 x65 的系统 Service Pack 2 的 Windows Server 2008

适用于基于 x64 的系统服务 1 的 Windows Server 2008 R2

视窗服务器 2012

Windows 服务器 2012 R2

视窗服务器 2016

Windows Server 2019，和

视窗服务器 2022

随着与朝鲜有联系的威胁行为者被观察到利用该漏洞将加密的 shellcode 合并到合法库中而不会使 Microsoft 发布的签名无效，因此出现了这一进展。

微软发布 BlackLotus Bootkit 攻击指南

在更新的同时，这家科技巨头还发布了CVE-2022-21894（又名 Baton Drop）指南，这是一个现已修复的安全启动绕过漏洞，威胁参与者使用新生的统一可扩展固件接口 (UEFI) bootkit 利用该漏洞调用BlackLotus以在主机上建立持久性。

一些妥协指标 (IoC) 包括最近在 EFI 系统分区 ( ESP )中创建和锁定的引导加载程序文件、与 Microsoft Defender Antivirus 停止相关的事件日志、暂存目录 ESP:/system32/ 的存在以及对注册表的修改密钥 HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity。

“UEFI bootkit 特别危险，因为它们在计算机启动时运行，在操作系统加载之前，因此可能会干扰或停用各种操作系统 (OS) 安全机制，”微软事件响应团队表示。

Microsoft 进一步建议将受感染的设备从网络中移除并检查是否有后续活动的证据、重新格式化或从包括 EFI 分区的已知干净备份恢复机器、维护凭证卫生并执行最小权限原则 ( PoLP )。