微软发布5月补丁星期二,修复3个0day 且其中1个已遭利用
编译:代码卫士
微软发布五月份的补丁星期二,共修复了74个漏洞,其中7个为“严重”级别、66个为“重要”级别,1个为“低危”级别。纵向对比来看,本次补丁星期二和往年5月修复的漏洞数量一致,比2021年5月份修复的多19个,比2019年5月份少5个。
CVE-2022-26925 是Windows LSA 欺骗漏洞。这个听起来似乎比较复杂的漏洞可导致未认证攻击者强制域控制器认证使用NTLM的另外一台服务器。威胁人员需要位于目标和所请求域名之间的逻辑网络路径中,但由于该漏洞被列为已遭利用,因此肯定有人已经了解到如何实现这一点。微软指出,如果结合NTLM 中继攻击,则其CVSS 评分可达9.8分,使其更为严重。除了补丁外,系统管理员应当结合 KB5005413和安全公告 ADV210003,查看如何采取其它措施阻止NTLM中继攻击。还值得注意的是,该补丁影响 Server 2008 SP2 上的某些备份功能。如果用户运行该操作系统,则需要确保备份仍可被恢复。
微软还修复了位于 Hyper-V 中的拒绝服务漏洞 (CVE-2022-22713) 和位于Azure Synapse 和 Azure Data Factory 中的远程执行漏洞CVE-2022-29972。
CVE-2022-29972位于第三方 ODBC 数据连接器中,影响多款微软服务。该连接器可连接至 Amazon Redshift、Aure Synapse Pipelines 中的IR以及 Azure Data Factory,可导致攻击者执行 Integration Runtimes 中的远程命令。由于该漏洞非常复杂,因此微软专门发布博客文章进行解释。
CVE-2022-26923 是活动目录域名服务提权漏洞,位于证书发放过程中。攻击者在证书请求中包含构造的数据,从而使其获得的证书能够认证到权限更高的域控制器。从本质上来件,如果活动目录证书服务在域上运行,则任何域认证用户可变身为域管理员。这是一种非常常见的部署。鉴于该漏洞严重程度高且易于利用,因此预测攻击者将很快利用它。
CVE-2022-26937 是 Windows 网络文件系统远程代码执行漏洞,CVSS 评分为9.8,可导致远程未认证攻击者在受影响系统上的网络文件系统 (NFS) 服务上下文中执行代码。NFS 并非默认开启,不过在Windows 与其它操作系统如Linux或Unix 混合的环境中普遍存在。如果用户位于这种环境中,则应当迅速测试并部署补丁。微软指出,NFSv4.1 不可遭利用,因此应尽可能升级至 NFSv2 或NFSv3。
在余下的“严重”级别漏洞中,有两个影响 Windows 的PPTP 实现,可导致RCE 后果。微软指出,攻击者需要竞争条件才能成功利用这些漏洞,但攻击者可能会通过其它更快的方式进行利用。微软 Kerberos 中存在一个严重的提权漏洞,但微软并未提供更多信息。提权漏洞被评级为“严重”级别的情况很少见,因此该提权漏洞导致的后果可能不止域名账户。另外微软还发布了RDP客户端的另外一个补丁,目前来看似乎每次补丁日都会有一两个这样的补丁。攻击者需要说服受影响系统连接至特殊构造的 RDP 服务器才能执行代码。
本月补丁星期二还发布了20个RCE漏洞补丁,其中半数和LDAP漏洞有关。其中,最严重的漏洞CVSS评分为9.8,要求 MaxReceiveBuffer LDAP 策略的值要比默认值高。目前尚不清楚这种配置是否常见。其它漏洞的利用要求某种形式的认证。余下的RCE漏洞要求某种形式的用户交互,大多数是点击链接或打开文件。其中唯一不同的一个漏洞位于 SharePoint 中,要求具有页面创建权限的已认证用户才可实施利用。在默认情况下,任何已认证用户都可在具有必要权限的情况下创建自己的站点。
在和提权相关的补丁中,本次共修复21个提权漏洞,多数要求攻击者登录运行特殊构造的代码或诱骗权限用户这样做。不过,有一些值得关注的漏洞。最明显的就是 Exchange Server 的补丁,它要求管理员在安装补丁前准备活动目录,这就要求在补丁下载时,从命令提示符中运行特定的命令。微软并未说明如果不这样做会造成何种后果,但由于该漏洞可导致 Exchange 管理员成为域管理员,因此应确保已完全修复该漏洞。远程访问连接管理器中还存在一个提权漏洞,但微软并未提供更多详情。另外,PrintSpooler 中还存在两个提权漏洞,其中一个可导致攻击者创建符号链接,使服务加载任意DLL。
在本月修复的17个信息泄露漏洞中,2个漏洞影响Print Spooler,原因都是在文件操作中使用用户提供的路径前缺少正确的验证。攻击者可利用这些漏洞在系统上下文中泄露信息。多数其它泄露类型漏洞仅可导致未指定内存内容的泄露。Windows Server Service 即 LanManServer 中的漏洞是一个例外。微软指出,攻击者可证实内网中具体文件名称和用户的存在,但并未说明如何证实。
本次修复了四个安全特性绕过漏洞,每一个都值得提及。第一个和虚拟机交换机有关,攻击者可绕过扩展的 ACLs 和其它检查,即一个guest 操作系统可影响位于同样服务器上的另外一个guest 操作系统。第二个是位于Office 中的漏洞,可导致攻击者绕过 “ThisDocument.RemovePersonalInformation” 功能获得个人可识别信息。如果用户在网络共享文件但不想删除自己的个人信息,则应该应用该更新。Windows 认证更新修复了一个可导致中间人攻击者解密和读取或修改客户端和服务器之间TLS 流量的漏洞。最后,BitLocker Device Encryption 绕过漏洞要求物理访问但可导致攻击者在某些场景下访问已加密数据。虽然最后这两个漏洞不可能在野出现,但如出现则影响可能非常严重。这类漏洞是高阶威胁行动者攻击高级别目标的追求。
最后,微软修复了位于 Hyper-V、WLAN Autoconfig Service 以及 .NET 和 Visual Studio 中的6个拒绝服务漏洞。该WLAN 漏洞仅限于逻辑邻近的拓扑但无法从互联网触及。位于Hyper-V 中的漏洞被列为已公开,但微软并未说明漏洞详情的暴露程度。虽然还提到了 .NET 和 Visual Studio 中的多个 DoS 漏洞,但微软并未提供更多详情。其中一个.NET 漏洞是本次补丁星期二中的唯一一个低危漏洞。
微软3月补丁星期二修复71个漏洞,其中3个是0day
微软2月补丁星期二值得关注的漏洞
微软1月补丁星期二值得关注的蠕虫及其它
微软12月补丁星期二值得关注的6个0day及其它
https://www.zerodayinitiative.com/blog/2022/5/10/the-may-2022-security-update-review
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。