一、風險概述

11月22日，啟明星辰VSRC監測到Windows SmartScreen 安全功能繞過漏洞（CVE-2023-36025）的細節及PoC在網際網路上公開，微軟已在11月14日發佈的安全更新中修復了該漏洞，該漏洞的攻擊複雜性較低，可創建並誘導使用者點選惡意設計的 Internet 快捷方式檔案 (.URL) 或指向此類檔案的超連結來利用該漏洞，無需特殊許可權即可通過網際網路進行利用。

利用該漏洞的團伙包括TA544等，研究人員已在涉及 Remcos 的攻擊活動中發現TA544利用CVE-2023-36025，Remcos 是一種遠端訪問特洛伊木馬，多年來，各種威脅行為者一直使用該木馬來遠端控制已感染的 Windows 設備。

CVE-2023-36025是微軟今年迄今為止披露的SmartScreen中的第三個零日漏洞。今年 2 月，Google的研究人員發現一個威脅行為者濫用先前未知的 SmartScreen 漏洞，在目標系統上投放 Magniber 勒索軟體。

二、影響範圍

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64-based Systems

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows 11 Version 23H2 for ARM64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

三、安全措施

3.1升級版本

目前微軟已發佈了該漏洞的安全更新，受影響使用者可及時安裝。

下載連結：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36025

3.2臨時措施

謹慎打開來自不受信任來源的檔案和連結。

3.3通用建議

定期更新系統補丁，減少系統漏洞，提升伺服器的安全性。

加強系統和網路的訪問控制，修改防火牆策略，關閉非必要的應用埠或服務，減少將危險服務（如SSH、RDP等）暴露到公網，減少攻擊面。

使用企業級安全產品，提升企業的網路安全性能。

加強系統使用者和許可權管理，啟用多因素認證機制和最小許可權原則，使用者和軟體許可權應保持在最低限度。

啟用強密碼策略並設置為定期修改。

3.4參考連結

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36025

https://infosecwriteups.com/cve-2023-36025-an-in-depth-analysis-of-circumventing-windows-smartscreen-security-6ff05c8b69d0