轉載「Microsoft 推出 2023 年 3 月 Patch Tuesday 每月例行更新修補包」訊息

Microsoft 推出 2023 年 3 月 Patch Tuesday 每月例行更新修補包，共修復 83 個資安漏洞，內含 2 個 0-day 漏洞

Microsoft 日前推出 2023 年 3 月例行資安更新修補包「Patch Tuesday」，共修復多達 83 個資安漏洞，其中有 9 個是屬於「嚴重」(Critical) 危險程度的漏洞，另有 2 個 0-day 漏洞也獲得修復，這些漏洞已知遭用於攻擊活動。

本月 Patch Tuesday 修復的漏洞數量較上個月（2023 年 2 月）的 77 個資安漏洞略多一些，達 83 個；其中 9 個屬於嚴重等級的漏洞，分類上包括遠端執行任意程式碼、分散式服務阻斷 (Distributed Denial of Service, DDoS)，以及權限提升類型。

本月修復的 0-day 漏洞共有 2 個，其中第一個是 CVE 編號為 CVE-2023-23397 的 Windows Outlook 漏洞，屬於權限提升 (Elevation of Privilege) 漏洞。Microsoft 指出駭侵者可以透過特製的 Email 誘發此漏洞，強制受害裝置連線到遠端 URL 並傳輸該機的 Windows 帳號 Net-NTLMv2 雜湊值，讓駭侵者中繼到其他系統，並以此雜湊值通過驗證，並竊取系統內特定帳號的 Email 。目前已知該 0-day 漏洞已遭駭侵者廣泛用於攻擊活動。

第二個是 CVE 編號為 CVE-2023-24880 的 Windows SmartScreen 漏洞，屬於資安防護功能略過漏洞。Microsoft 指出駭侵者可以用這個漏洞來製作惡意檔案，該檔案具備跳過  Windows Mark of the Web 的安全防護功能。

 詳細資訊請參考：https://www.twcert.org.tw/tw/cp-104-6999-4da0b-1.html