微軟8月Patch Tuesday修補2個零時差漏洞

微軟周二（8/8）修補了超過70個安全漏洞，包含兩個已遭到駭客利用的零時差漏洞CVE-2023-36884及CVE-2023-38180。

其中的CVE-2023-36884是個Windows Search遠端程式執行漏洞，在透過電子郵件或即時訊息的攻擊場景中，駭客只要傳遞一個特製的檔案予目標對象就能利用該漏洞，條件是受害者必須開啟該檔案。

至於CVE-2023-38180則為.NET與Visual Studio的服務阻斷漏洞，微軟僅說該漏洞已遭到駭客利用，並未說明漏洞細節。

上述兩個漏洞皆僅被列為重要（Important）漏洞，微軟本月修補了6個被列為重大（Critical）的遠端程式攻擊漏洞，當中就有3個涉及微軟訊息佇列（Microsoft Message Queuing），包括CVE-2023-35385、CVE-2023-36910與CVE-2023-36911，還有兩個是Microsoft Teams的遠端程式攻擊漏洞CVE-2023-29328與CVE-2023-29330，另一個則是Microsoft Outlook的遠端程式攻擊漏洞CVE-2023-36895。

上述3個與微軟訊息佇列有關的CVSS風險評分皆高達9.8，微軟並未公布漏洞細節，僅說成功攻擊CVE-2023-35385與CVE-2023-36911，將允許未經身分認證的駭客自遠端於目標伺服器上執行程式，而要攻擊CVE-2023-36910則必須先傳送一個惡意的MSMQ封包至MSMQ伺服器上，同樣可自遠端執行程式。此外，微軟8月總計修補了11個位於訊息佇列的安全漏洞。

至於兩個Microsoft Teams漏洞CVE-2023-29328及CVE-2023-29330則可在駭客邀請受害者加入Teams會議之後被利用，成功的攻擊允許駭客存取或變更受害者資訊，也可能造成對方的系統當機。

至於趨勢科技Zero Day Initiative（ZDI）團隊則特別點名了Microsoft Exchange Server的CVE-2023-38181漏洞，主要是因為它解決了CVE-2023-32031修補被繞過的漏洞，而CVE-2023-32031是為了解決CVE-2023-21529修補被繞過的漏洞，CVE-2023-21529又是為了解決CVE-2022-41082修補被繞過的漏洞，而CVE-2022-41082則是已遭到駭客濫用。