微软周二发布了更新，以解决其软件中总共 132 个新的安全漏洞，其中包括 6 个据称已被广泛利用的零日漏洞。

在 132 个漏洞中，有 9 个漏洞被评为“严重”，122 个漏洞的严重程度被评为“重要”，还有 1 个漏洞的严重程度评级为“无”。除此之外，这家科技巨头上月底还修复了其基于 Chromium 的 Edge 浏览器中的八个缺陷。

已被积极利用的问题列表如下 -

CVE-2023-32046（CVSS 评分：7.8）- Windows MSHTML 平台特权提升漏洞

CVE-2023-32049（CVSS 评分：8.8）- Windows SmartScreen 安全功能绕过漏洞

CVE-2023-35311（CVSS 评分：8.8）- Microsoft Outlook 安全功能绕过漏洞

CVE-2023-36874（CVSS 评分：7.8）- Windows 错误报告服务特权提升漏洞

CVE-2023-36884（CVSS 评分：8.3）- Office 和 Windows HTML 远程代码执行漏洞（在发布时也已公开）

ADV230001 - 恶意使用 Microsoft 签名的驱动程序进行后利用活动（未分配 CVE）

这家 Windows 制造商表示，它已意识到针对欧洲和北美国防和政府实体的针对性攻击，这些攻击试图通过使用与乌克兰世界大会相关的特制 Microsoft Office 文档诱饵来利用 CVE-2023-36884，这与 BlackBerry 的最新发现相呼应。

微软表示：“攻击者可以创建一个特制的 Microsoft Office 文档，使他们能够在受害者的上下文中执行远程代码。” “但是，攻击者必须说服受害者打开恶意文件。”

该公司已将此次入侵活动标记为一个名为 Storm-0978 的俄罗斯网络犯罪组织，该组织也被称为 RomCom、Tropical Scorpius、UNC2596 和 Void Rabisu。

微软威胁情报团队解释说：“攻击者还部署了 Underground 勒索软件，该勒索软件与 2022 年 5 月首次在野外观察到的 Industrial Spy 勒索软件密切相关。” “该演员于 2023 年 6 月检测到的最新活动涉及滥用 CVE-2023-36884，以提供与 RomCom 类似的后门。”

该攻击者最近发起的网络钓鱼攻击需要使用托管在相似网站上的合法软件的木马版本，针对东欧和北美的各种乌克兰和亲乌克兰目标部署名为 RomCom RAT 的远程访问木马。

虽然 RomCom 最初被认为是与 Cuba 勒索软件相关的组织，但此后它已与其他勒索软件菌株（例如 Industrial Spy）以及截至 2023 年 7 月的一种名为 Underground 的新变种有联系，该变种与 Industry Spy 的源代码有明显重叠。

微软表示，打算以带外安全更新或每月发布流程的形式采取“适当行动来帮助保护我们的客户”。由于没有针对 CVE-2023-36884 的补丁，该公司敦促用户使用“阻止所有 Office 应用程序创建子进程”攻击面减少 (ASR) 规则。

雷蒙德进一步表示，它通过利用 Windows 策略漏洞在 2015 年 7 月 29 日之前更改驱动程序的签名日期，并利用开源工具（如HookSignTool 和 FuckCertVerifyTimeValidity。

研究结果表明，恶意内核模式驱动程序的使用正在受到威胁行为者的关注，因为它们在 Windows 上以最高权限级别运行，从而可以在较长时间内建立持久性，同时干扰安全软件的功能以逃避检测。