微软周二修复了 74 个安全漏洞，其中两个是零日漏洞。其中 6 个漏洞被评为严重，67 个漏洞被评为重要，1 个漏洞被评为中等严重程度。安全综述是该软件巨头每月补丁星期二更新的一部分。

安全专家敦促组织优先修复两个零日漏洞，这两个漏洞被跟踪为 CVE-2023-23397（CVSS 评分：9.8）和 CVE-2023-24880（CVSS 评分：5.1），因为它们在野外被积极利用。 

此外，几个关键的远程代码执行漏洞在该版本中占主导地位，这也使它们成为修补的重中之重。 

两个零日在这两个零日漏洞中，被跟踪为 CVE-2023-23397 漏洞的漏洞是 Microsoft Outlook 欺骗漏洞，是两者中更严重的一个。利用该缺陷可能会绕过目标系统的身份验证。 

该漏洞允许“新技术 LAN 管理器凭据盗窃”，并在“当攻击者将带有 UNC 路径的扩展 MAPI 属性的消息发送到威胁参与者控制的服务器上的 SMB（TCP445）共享时”触发。微软咨询。 

换句话说，可以在低复杂度的攻击中轻松利用该漏洞——所有攻击者需要做的就是发送特制的电子邮件将受害者链接到外部攻击者的控制 UNC 位置。由于该漏洞是在电子邮件服务器端触发的，因此会在预览窗格中查看电子邮件之前发生利用。 

Tenable 高级研究工程师 Satnam Narang 表示：“攻击者可以利用此漏洞泄露用户的 Net-NTLMv2 哈希并进行 NTLM 中继攻击以重新验证用户身份。” “值得注意的是，这个漏洞归功于乌克兰计算机应急响应小组 (CERT-UA)，这可能意味着它可能已在野外被利用来针对乌克兰目标。” 

Microsoft Incident 和 Microsoft Threat Intelligence 也披露了该漏洞。 

第二个零日漏洞 CVE-2023-24880 被确定为Windows SmartScreen 安全功能绕过漏洞。它可以让对手绕过网络标记 (MOTW) 防御并部署勒索软件，而不会触发安全警告。

Microsoft Office 中的 SmartScreen 和 Protected View 等保护措施依靠 MOTW 来识别可疑活动，因此绕过这些功能可能会导致用户从不受信任的来源下载恶意文件和应用程序。

该漏洞归功于 Google 的威胁分析小组和安全研究员 Bill Demirkapi。在周二的SC Media 报道中阅读有关此漏洞的更多详细信息。 

这两个零日错误都已添加到 CISA 已知可利用漏洞目录中。 

其他具有高修补优先级的严重错误

微软还修补了一些关键的远程代码执行漏洞，每个漏洞的 CVSS 严重性评分为 9.8。三者中的第一个是影响 HTTP 协议栈 (CVE-2023-23392)。第二个漏洞被确定为互联网控制消息协议 (CVE-2023-23415) 漏洞。第三个被归类为远程过程调用运行时 (CVE-2023-21708) 缺陷。 

值得一提的是，CVE-2023-23392 漏洞仅影响 Windows 11 和 Windows Server 2022，这意味着“这是一个较新的漏洞，而不是遗留代码，”趋势科技零日计划威胁意识负责人 Dustin Child 写道，在博客文章中。 该错误允许远程和未经身份验证的攻击者在系统级别执行代码而无需用户交互，需要使用缓冲 I/O 并启用 HTTP/3 的服务器特别容易受到攻击。 

下一个 Microsoft 补丁星期二定于 2023 年 4 月 11 日。