微软7月补丁星期二值得关注的漏洞
编译:代码卫士
01CVE-2022-22047:Windows CSRSS 提权漏洞
微软称该漏洞已遭活跃利用,不过并未透露它在什么地方被利用或利用范围有多大。该漏洞可导致可在目标执行其它代码的攻击者以系统权限执行代码。一般情况下,这种类型漏洞和一个代码执行漏洞组合利用可接管系统。这些攻击通常要依赖宏,这也是为何很多人了解到微软默认延迟拦截所有 Office 宏之后会感到沮丧。
02CVE-2022-30216:Windows Server Service 篡改漏洞
CVE-2022-30216 位于Windows Server Service 中,可导致认证攻击者将恶意证书上传到目标服务器。虽然该漏洞被列为“篡改”,但攻击者如能将自己的证书安装在目标系统,则可利用该漏洞实施多种目的如代码执行等。虽然篡改类漏洞一般并不会获得太多注意,但微软给出最高评分等级,说明该公司认为在30天内会出现活跃利用。用户应快速测试并部署该补丁,尤其对于关键服务器而言更是如此。
03CVE-2022-22029:Windows 网络文件系统 RCE 漏洞
这是微软连续第三个月修复的严重的NFS漏洞,虽然该漏洞的CVSS评分要比之前的低,但仍然可导致远程未认证攻击者在无需用户交互的情况下在受影响系统上执行代码。微软发现可能需要多次利用尝试才能达到这一目的,但除非专门进行审计,否则不会发现这一点。如果用户正在运行 NFS,则需确保部署该补丁。
04CVE-2022-22038:RPC 运行时RCE漏洞
CVE-2022-22038可导致远程未认证攻击者在受影响系统上执行代码。虽然安全公告中并未具体说明,但假设认为代码执行会发生在提权情况下。结合这些属性即可看到潜在可蠕虫漏洞。微软认为由于攻击者需要“不断进行重复利用尝试”才能利用该漏洞,因此攻击复杂度为高,但除非主动拦截RPC活动,否则无法看到这些利用尝试。如果利用复杂度为低,则CVSS评分将是9.8。用户应快速测试并部署该补丁。
值得注意的是,谷歌发现了CVE-2022-2294的在野利用exploit。如果用户正在使用微软 Edge(基于 Chromium),则需确保浏览器已更新。
0532个Azure 漏洞
本次补丁星期二修复了32个Azure Site Recovery 服务漏洞,其中两个是RCE漏洞,余下的是提权漏洞。虽然该服务主要是基于云的服务,但还有一些本地组件。因此这些漏洞不会有自动更新。在所有情况下,用户需要更新至版本9.49来修复这些漏洞。一个月就修复单个组件如此多的CVE漏洞的情况不常见,目前也不清楚微软为何会以这种方式修复这些漏洞。无论如何,如果用户在使用 Azure Site Recovery,则应确保更新所有必要组件。
还有两个严重级别的漏洞值得而关注。除了此前讨论过的漏洞外,还有第二个严重级别的NFS漏洞(CVE-2022-22029),它和另外一个严重漏洞(CVE-2022-22039)相似,不过评分稍高。该漏洞仍然是严重级别,CVSS评分(8.1分)有待商榷,因此不要因此低估它的危险性。本月CVSS评分最高的漏洞是位于 Graphic Component 中的CVE-2022-30221(CVSS:8.8)。这种漏洞通常通过打开文件或查看图像的方式触发。
06其它值得关注的漏洞
余下的严重级别的漏洞影响某些业务功能。首先是DNS服务器组件中的漏洞,它虽然值得关注,但需要攻击者拥有提升后的权限。Windows Shell 中存在一个RCE漏洞,但需要本地攻击者和登录屏幕交互。就像一直提到的那样,永远不要忽视物理安全。虽然Business 和 Lync 版本的Skype 中存在一个代码执行漏洞,但需要多个前提条件。第二层隧道协议(L2TP)中也存在一个漏洞。虽然尚不清楚有多少人在使用L2TP,但如果你也在使用,则确保要安装该补丁。Windows Fax 服务中也存在两个RCE漏洞。
本次补丁星期二还修复了52个提权漏洞,其中包括30个 Azure Site Recovery 漏洞。除了其中一个漏洞正遭攻击外,CSRSS中还存在两个其它提权漏洞。余下漏洞仍然要求攻击者已经具备在目标上执行代码的能力,之后利用其中一个漏洞提升至系统级别或其它级别。与此不同的一个例外是存在于 Media Player Network Sharing 服务中的漏洞,它可被用于删除注册密钥。另外IIS中还存在一个漏洞,可导致攻击者绕过受影响IIS服务器上的认证。Group Policy 漏洞要求攻击者具有创建 Group Policy Templates 的权限。微软提醒称应当定期审计这些组。Xbox Live Save Service 中也存在一个漏洞,但不清楚攻击者要利用该漏洞需要何种权限。不过微软确实将攻击向量列为本地,因此同样的 Xbox上可能存在多个用户会受影响?消停一个月后,Print Spooler 中又修复了四个漏洞。在可预见的未来,我们可能还会看到更多的Print Spooler 修复方案。
微软在本月补丁星期二中还修复了三个拒绝服务漏洞,它们都具有较大影响力。第一个DNS漏洞影响Security Account Manager (SAM)。虽然微软并未说明该漏洞的影响,但SAM上的DoS 漏洞可能导致登录域名时产生问题。另外一个DoS 漏洞位于IIS 中。第一个DoS 漏洞影响的是 Cachuri 模块,它提供的是用户模式下的URL信息缓存。第二个DoS 漏洞位于动态压缩模块中, 可使IIS 压缩来自多个句柄的响应。虽然其中任何一个都不会导致网站关闭,但仍然会降级服务。
除了以上提到的篡改漏洞外,Endpoint 的Microsoft Defender 中还存在另外一个篡改漏洞。然而,该漏洞要求攻击者向管理控制台设备认证并拥有集成令牌。
在本月修复的四个安全特性绕过漏洞中,有三个和物理访问有关。第一个是 BitLocker 绕过漏洞,可导致对已关闭系统具有物理访问权限的攻击者获得对加密数据的访问权限。同样,位于 Boot Manager 中的漏洞可导致具有物理访问权限的攻击者绕过 Secure Boot 并访问预启动环境。Windows Portable Device Enumerator 服务中的绕过漏洞可导致攻击者将USB存储设备附加到无法应用 Group Policy 的系统中。当打开特殊构造的 Office 文件时就会最终触发 SFB。
本月补丁星期二还修复了七个信息泄露漏洞。多数漏洞仅导致未指定内存内容的泄露,但也有一些值得注意的例外。BitLocker 中的漏洞可导致本地攻击者查看原始的未加密磁盘区域数据。从 BitLocker 的目的来看,可以基本肯定它是一个安全特征绕过。其中一个Hyper-V 漏洞可导致位于 guest OS 上的攻击者从 Hyper-V 主机中获得数据。Azure Storage Library 中的漏洞可导致攻击者解密位于客户端的数据并泄露文件或二进制对象内容。HackerOne 平台也分配了一个CVE漏洞,它可导致攻击者通过curl 泄露认证或 cookie 标头数据。该漏洞最初在2022年4月修复,目前已集成到使用curl 的微软产品中。
最后,还有两个信息披露漏洞和 AMD CPU Branch 类型混淆问题有关。这些漏洞和上个月 Intel 处理器率先记录的 “Hertzbleed”漏洞有关。虽然从学术角度来看值得关注,但利用推断性执行侧信道的利用在真实世界中不会产生太大影响。
微软4月补丁星期二修复119个漏洞,含2个0day
微软3月补丁星期二修复71个漏洞,其中3个是0day
微软2月补丁星期二值得关注的漏洞
微软1月补丁星期二值得关注的蠕虫及其它
https://www.zerodayinitiative.com/blog/2022/7/12/the-july-2022-security-update-review
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。