CVE-2023-36036、CVE-2023-36033、CVE-2023-36025

Microsoft 日前推出 2023 年 11 月例行資安更新修補包「Patch Tuesday」，共修復 58 個資安漏洞；其中含有 5 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。

本月 Patch Tuesday 修復的漏洞數量僅有 58 個，較上個月（2023 年 10 月）的 104 個資安漏洞大為減少；而在這 58 個漏洞中，僅有 3 個屬於「嚴重」等級，另有 5 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 15 個遠端執行任意程式碼 (RCE) 漏洞。

以漏洞類型來區分，這次修復的資安漏洞與分類如下：

• 執行權限提升漏洞：16 個；
• 資安防護功能略過漏洞：6 個；
• 遠端執行任意程式碼漏洞：15 個；
• 資訊洩露漏洞：6 個；
• 服務阻斷（Denial of Service）漏洞：5 個；
• 假冒詐騙漏洞：11 個。

本月的 Patch Tuesday 有 5 個 0-day 漏洞，其中有 3 個已遭大規模濫用的兩個，分別如下：

第一個 0-day 漏洞是 CVE 編號為 CVE-2023-36036，存於 Windows Cloud Files Mini Filter Driver 中，屬於執行權限提升漏洞；駭侵者可透過此漏洞，提高自身的執行權限到 SYSTEM 等級，但駭侵者是如何運用此漏洞發動攻擊的，目前仍屬未知狀態。

第二個已遭用於攻擊活動的 0-day 漏洞是 CVE-2023-36033，是存於 Windows DWM Core Library 中的執行權限提升漏洞，駭侵者可利用此漏洞獲得 SYSTEM 權限。

第三個已用於攻擊之中的 0-day 漏洞為 CVE-2023-36025，存於 Windows SmartScreen 中，屬於資安防護機制略過漏洞；駭侵者可利用特製的 Internet shortcut 來跳過資安檢測程序與警示訊息顯示。

Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。

建議系統管理者與 Microsoft 用戶應立即套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。