微軟在 3 月 Patch Tuesday 修補了 83 項軟體瑕疵，並警告用戶 2 項為零時差漏洞，包含影響 Outlook 的重大漏洞，微軟已緊急釋出偵測及緩解工具。

 

第一個漏洞是編號 CVE-2023-23397，為權限擴張（elevation of privilege，EoP）漏洞。攻擊者可傳送 MAPI 屬性包含通用命名規範（Universal Naming Convention，UNC）的惡意郵件，導致受害者連向攻擊者控制的外部 SMB 伺服器共享資料夾。這能讓駭客經由取得受害者的的資訊，藉此發動 NTLM Relay 攻擊，即可連到另一項服務，並冒用受害者身分完成驗證存取。

(圖片來源：https://msrc.microsoft.com/update-guide/releaseNote/2023-Mar)

而這個漏洞危險在於，只要用戶接收並處理郵件就會直接觸發該漏洞，也就是可能不需點閱或互動就會遭受攻擊。

 

CVE-2023-23397 漏洞風險值達 9.8，會影響所有 Windows 版的 Outlook，但 Android、iOS、Mac 及 Web 版用戶的 Outlook 則未受影響，且 Microsoft 365 等線上服務不支援 NTLM 驗證，因此不受這類惡意信件影響。

 

第二個零時差漏洞則是 CVE-2023-24880，為 SmartScreen 安全功能繞過漏洞。攻擊者可製作惡意檔案，繞過 Windows 的 Mark of the Web（MOTW）防護。MOTW 防護是指當用戶從網路上下載檔案，Windows 會在該檔加入MOTW的識別碼，在用戶開啟執行時發送SmartScreen 檢查並警告用戶留意。最新漏洞會導致 SmartScreen 警告不會被觸發，提高惡意程式下載機會。本漏洞風險值 5.4，影響 Windows 10 以上桌機，以及 Windows Server 2016、2019 及 2022。

(圖片來源：https://msrc.microsoft.com/update-guide/releaseNote/2023-Mar)

針對這兩個漏洞所造成的威脅，微軟強烈建議不論哪個系統與版本的用戶都需更新到最新版本。微軟昨日同時針對 CVE-2023-23397 緊急釋出偵測及緩解腳本程式 CVE-2023-23397 script。這項工具可以偵測是否有連到指向不明共享資料夾的電子郵件、行事曆或待辦事項物件。一旦偵測到就會移除或清除參數。如果未偵測到任何物件，表示用戶組織應該沒有受漏洞影響。

 

下圖是微軟 3 月更新內容：

 

細節資訊：

- https://msrc.microsoft.com/update-guide/releaseNote/2023-Mar