Microsoft 日前推出 2023 年 10 月例行資安更新修補包「Patch Tuesday」，共修復 104 個資安漏洞；其中含有 3 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。

本月 Patch Tuesday 修復的漏洞數量有 104 個，較上個月（2023 年 9 月）的 59 個資安漏洞大為增加；而在這 104 個漏洞中，僅有 12 個屬於「嚴重」等級，另有 3 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 45 個遠端執行任意程式碼 (RCE) 漏洞。

以漏洞類型來區分，這次修復的資安漏洞與分類如下：

• 執行權限提升漏洞：26 個；
• 資安防護功能略過漏洞：3 個；
• 遠端執行任意程式碼漏洞：45 個；
• 資訊洩露漏洞：12 個；
• 服務阻斷（Denial of Service）漏洞：17 個；
• 假冒詐騙漏洞：1 個；
• Edge -Chromium 漏洞：1 個。

本月的 Patch Tuesday 有 3 個已遭大規模濫用的 0-day 漏洞，其中兩個如下：

第一個 0-day 漏洞是 CVE 編號為 CVE-2023-41763，存於 Skype for Business 中，屬於執行權限提升漏洞；駭侵者可透過此漏洞，提高自身的執行權限，並且檢視某些機敏資訊；不過微軟也指出該駭侵者僅能利用此漏洞存取部分資訊，且無法竄改資訊內容。

第二個值得注意的 0-day 漏洞是 CVE-2023-36563，是存於 Microsof WordPad 中的資訊洩露漏洞，駭侵者可利用此漏洞，在開啟 WordPad 文件時竊取 NTLM 雜湊資料 ，並用以進行 NTLM 中繼攻擊。

• CVE 編號：CVE-2023-41763、CVE-2023-36563 等
• 影響產品：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。
• 解決方案：建議系統管理者與 Microsoft 用戶應立即依照指示，以最快速度套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。
   
• 參考連結

Skype for Business Elevation of Privilege Vulnerability

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-41763

Microsoft WordPad Information Disclosure Vulnerability

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-36563

Microsoft October 2023 Patch Tuesday fixes 3 zero-days, 104 flaws

https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2023-patch-tuesday-fixes-3-zero-days-104-flaws/