日前，微软发布了2023年5月份安全更新，共52个漏洞的补丁程序，CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows 和 组件、Visual Studio、Microsoft Windows Win32K等。

但在本周的报告中，Varonis威胁实验室和Numen Cyber的安全研究人员透露到，微软未打补丁的系统已经被攻击了。

Numen分析师指出，Win32k特权提升漏洞被跟踪为CVE-2023-29336，严重性等级为 7.8(满分10分)，该漏洞已经检测到在野利用，且不需要用户交互。他补充说，虽然它不影响Windows 11，但旧版本的Windows 10、Windows 8和Windows Server将面临风险。

Win32k.sys是内核模式驱动程序，是Windows 体系结构的组成部分，负责图形设备界面(GUI)和窗口管理。成功利用此漏洞的攻击者可提升受攻击系统账户的权限至SYSTEM 权限执行任意代码。

Avast Systems在5月首次报道了这个漏洞，微软在当月发布了补丁程序，但两家公司都没有详细透露该漏洞在野外滥用的确切细节。

同月，美国网络安全和基础设施安全局(CISA)将该漏洞添加到其已知利用漏洞目录中。

解构Win32k补丁 分析漏洞原因

Numen分析师通过解构补丁分析该漏洞，并在Windows Server 2016上创建了一个概念验证(PCO)漏洞。他们说，当Win32k锁定窗口对象时，它不会对嵌套在其中的菜单对象做同样的事情。

攻击者可以通过控制菜单对象来升级其访问权限并链接到其他漏洞，从而利用该漏洞。在创建POC时，Numen开发了一种达到系统特权级别的方法，并指出没有什么大的挑战。

研究人员写道，除了努力探索不同的方法，利用从释放的内存中重新占用的数据来控制第一次写入操作外，通常不需要新的开发技术。该漏洞严重依赖于堆内存中泄露的内核句柄地址，最终获得读写原语。

他们表示：“如果这个问题没有得到彻底解决，该漏洞仍然是旧系统的安全风险。”

在最新的Windows 11预览版本中，微软使用Rust语言来解决Numen研究人员利用的内核代码的特定部分，这可能会消除此类漏洞。

Visual Studio漏洞值得警惕

另一份报告涉及微软Visual Studio安装程序中的用户界面漏洞，该漏洞可能导致开发人员将恶意扩展程序到他们的工作中。

Varonis安全研究员Dolev Taler写道，攻击者可以利用此漏洞伪装成合法的软件，创建和分发恶意扩展程序，对开发环境进行渗透，从而掌控代码、窃取高价值的知识产权。

该漏洞被追踪为CVE-2023-28299，微软已在4月份的月度安全更新中发布了修复补丁。当时微软将其描述为“中等”严重性漏洞，并评估称黑客不太可能利用的漏洞。

但是，Taler在一篇博客文章中对该漏洞及其潜在影响提出了不同的看法，指出利用这个漏洞并不困难，如果系统被破坏，那么就会有很高的风险，而且Visual Studio的受欢迎程度使得组织应用这个补丁变得很重要，它存在于一个拥有26%市场份额和超过30000名客户的产品中。

此外，Taler表示，有数百个Visual Studio扩展程序“允许用户做任何事情，从集成GitHub和SQL服务器到简单的生产力工具，如拼写检查和代码剪切，最受欢迎的扩展程序通常有数百万次下载量。”

他写道，Visual Studio通过不允许用户在“产品名称”扩展属性中输入信息，从而保留了来自扩展名称的换行控制字符。

问题是，攻击者可以通过将VSIX软件包作为ZIP文件打开来绕过限制，然后手动将换行符添加到“extension.vsixmanifest”文件下的标签中。

如果在“name,all ”扩展名中添加足够多的换行符，Visual Studio安装提示中的其他文本就会被推送，他们可以轻松添加使用户看起来以为是真实的虚假“数字签名”文本。

然后，攻击者可以发送一封伪装成合法软件更新的网络钓鱼电子邮件，该扩展名为假的VSIX扩展程序。随后，这些恶意程序可以将其用作进入组织的开发生态系统和其他目标环境的起点。

从那里开始，所有关于通过组织网络的横向移动，攻击者都可以窃取机密数据和公司IP。