近日,亚信安全CERT监测到微软补丁日发布了63个漏洞的安全补丁,其中5个被评为严重,57个被评为高危,1个被评为中危。远程代码执行(RCE)漏洞占本月修补漏洞的 48.4%,其次是特权提升(EoP)漏洞,占 29%。其中,Windows common log file system driver权限提升漏洞(CVE-2022-37969)已检测到在野利用行为,建议用户尽快安装对应补丁以修复漏洞。
经亚信安全CERT专家研判,列出如下部分值得关注的漏洞:
1、Windows CSRSS权限提升漏洞(CVE-2022-34718)
Windows TCP/IP存在远程代码执行漏洞,漏洞编号为CVE-2022-34718,该漏洞评分为9.8,严重。(CVSS v3.1 矢量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H),目前未公开,未发现在野利用。
该漏洞源于Windows TCP/IP未能正确的验证用户输入。未经身份验证的攻击者可以将特制的IPv6数据包发送到启用了IPSec的Windows节点,这可能会在该计算机上启用远程代码执行利用。
2、Windows Internet密钥交换(IKE)协议扩展远程代码执行漏洞(CVE-2022-34721)
Windows Internet密钥交换(IKE)协议扩展存在远程代码执行漏洞,漏洞编号为CVE-2022-34721,该漏洞评分为9.8,严重。(CVSS v3.1 矢量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H),目前未公开,未发现在野利用。
未经身份验证的攻击者可以将特制的IP数据包发送到运行Windows并启用了IPSec的目标计算机,这可能会启用远程代码执行漏洞。该漏洞只影响Internet密钥交换(IKE)协议的IKEv1版本,IKEv2版本不受影响,但由于Windows服务器同时接收V1和V2数据包,因此所有Windows服务器都会收到影响。
3、Windows Internet密钥交换(IKE)协议扩展远程代码执行漏洞(CVE-2022-34722)
Windows Internet密钥交换(IKE)协议扩展存在远程代码执行漏洞,漏洞编号为CVE-2022-34722,该漏洞评分为9.8,严重。(CVSS v3.1 矢量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H),目前未公开,未发现在野利用。
未经身份验证的攻击者可以将特制的IP数据包发送到运行Windows并启用了IPSec的目标计算机,这可能会启用远程代码执行漏洞。该漏洞只影响Internet密钥交换(IKE)协议的IKEv1版本,IKEv2版本不受影响,但由于Windows服务器同时接收V1和V2数据包,因此所有Windows服务器都会收到影响。
4、Microsoft Dynamics CRM(on-premises)远程代码执行漏洞(CVE-2022-35805)
Microsoft Dynamics CRM(on-premises)存在远程代码执行漏洞,漏洞编号为CVE-2022-35805,该漏洞评分为8.8,高危。(CVSS v3.1 矢量:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H),目前未公开,未发现在野利用。
该漏洞允许经过身份验证的用户,通过运行特制的受信任解决方案包来执行任意SQL命令。攻击者可以从那里升级并在其Dynamics 365数据库中以db_owner身份执行命令。
5、Microsoft Dynamics CRM(on-premises)远程代码执行漏洞(CVE-2022-34700)
Microsoft Dynamics CRM(on-premises)存在远程代码执行漏洞,漏洞编号为CVE-2022-34700,该漏洞评分为8.8,高危。(CVSS v3.1 矢量:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H),目前未公开,未发现在野利用。
该漏洞允许经过身份验证的用户,通过运行特制的受信任解决方案包来执行任意SQL命令。攻击者可以从那里升级并在其Dynamics 365数据库中以db_owner身份执行命令。
6、Windows common log file system driver权限提升漏洞(CVE-2022-37969)
Windows common log file system driver存在权限提升漏洞,漏洞编号为CVE-2022-37969,该漏洞评分为7.8,高危。(CVSS v3.1 矢量:CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H),目前已公开,已发现在野利用。
攻击者可在有权访问目标系统并能够在目标系统上运行代码的情况下,利用此漏洞获得系统权限。
7、Windows内核特权提升漏洞(CVE-2022-37956、CVE-2022-37957和CVE-2022-37964)
Windows内核中存在这三个特权提升漏洞,这三个漏洞的评分均为7.8,高危。(CVSS v3.1 矢量:CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H),目前未公开,未发现在野利用。
攻击者成功利用这些漏洞的情况下,可获得系统SYSTEM级别权限。其中,CVE-2022-37957被评为“更有可能被利用”。这三者会影响不同版本的Windows。例如,CVE-2022-37964仅影响 Windows 7、Windows Server 2008和2008 R2。CVE-2022-37956影响所有受支持的Windows和Windows服务器版本,而CVE-2022-37957仅影响Windows 10及更高版本,包括Windows Server版本2016、2019 和 2022。
漏洞编号
CVE-2022-26929
CVE-2022-38013
CVE-2022-38009
CVE-2022-38008
CVE-2022-38007
CVE-2022-35803
CVE-2022-38011
CVE-2022-37959
CVE-2022-38006
CVE-2022-37958
CVE-2022-37964
CVE-2022-37963
CVE-2022-37962
CVE-2022-38010
CVE-2022-37961
CVE-2022-38005
CVE-2022-37957
CVE-2022-38004
CVE-2022-37956
CVE-2022-37955
CVE-2022-37954
CVE-2022-34734
CVE-2022-34733
CVE-2022-34732
CVE-2022-34731
CVE-2022-34730
CVE-2022-34729
CVE-2022-34728
CVE-2022-34727
CVE-2022-34726
CVE-2022-34725
CVE-2022-34724
CVE-2022-34723
CVE-2022-34722
CVE-2022-34721
CVE-2022-34720
CVE-2022-34718
CVE-2022-34719
CVE-2022-35841
CVE-2022-35840
CVE-2022-35838
CVE-2022-35837
CVE-2022-35836
CVE-2022-35835
CVE-2022-35834
CVE-2022-35833
CVE-2022-35832
CVE-2022-35831
CVE-2022-35830
CVE-2022-35828
CVE-2022-35823
CVE-2022-33679
CVE-2022-33647
CVE-2022-30200
CVE-2022-30196
CVE-2022-30170
CVE-2022-26928
CVE-2022-23960
CVE-2022-34700
CVE-2022-35805
CVE-2022-38020
CVE-2022-38019
CVE-2022-37969
受影响的版本
.NET and Visual Studio
.NET Framework
Azure
Azure Arc
Cache Speculation
HTTP.sys
Microsoft Dynamics
Microsoft Edge (Chromium-based)
Microsoft Graphics Component
Microsoft Office
Microsoft Office SharePoint
Microsoft Office Visio
Microsoft Windows ALPC
Microsoft Windows Codecs Library
Network Device Enrollment Service (NDES)
Role: DNS Server
Role: Windows Fax Service
SPNEGO Extended Negotiation
Visual Studio Code
Windows Common Log File System Driver
Windows Credential Roaming Service
Windows Defender
Windows Distributed File System (DFS)
Windows DPAPI (Data Protection Application Programming Interface)
Windows Enterprise App Management
Windows Event Tracing
Windows Group Policy
Windows IKE Extension
Windows Kerberos
Windows Kernel
Windows LDAP - Lightweight Directory Access Protocol
Windows ODBC Driver
Windows OLE
Windows Photo Import API
Windows Print Spooler Components
Windows Remote Access Connection Manager
Windows Remote Procedure Call
Windows TCP/IP
Windows Transport Security Layer (TLS)
修复建议
1、Windows 自动更新
Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
①点击“开始菜单”或按Windows快捷键,点击进入“设置”
②选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)
③选择“检查更新”,等待系统将自动检查并下载可用更新。
④重启计算机。安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
2、手动安装更新
对于部分不能自动更新的系统版本和应用程序,可前往Microsoft官方下载相应补丁进行更新。