微软补丁星期二值得关注的漏洞

（1）   CVE-2022-37969：Windows CLFS 驱动提权漏洞

该漏洞位于Common Log File System (CLFS)中，可导致认证攻击者以提升权限执行代码。这种漏洞通常封装在某些社工攻击形式下，如说服某人打开文件或点击链接，之后更多代码以提升后的权限执行以接管系统。通常对于某exploit会如何被广泛地利用我们所知甚少，不过从微软此次致谢四个不同的研究组织来看，相关攻击不止针对性攻击。

（2）   CVE-2022-34718：Windows TCP/IP远程代码执行漏洞

该漏洞由奇安信代码安全实验室研究员发现并报送。该漏洞是“严重”级别的漏洞，可导致远程未认证攻击者在受影响系统上以提升后的权限执行代码且无需用户交互。这种情况足以将其列入“可蠕虫”类别且获得9.8的CVSS评分。不过，仅有启用了IPv6和配置了IPSec的系统才易受攻击。虽然对于某些人而言是好消息，但如果你用的是IPv6，则也可能运行着IPSec。用户应迅速测试并部署该更新。

（3）   CVE-2022-34724：Windows DNS服务器DoS漏洞

由于没有代码执行的可能性，因此该漏洞仅被评级为“重要”等级，但鉴于其潜在影响，用户应该将其视作“严重”等级。远程未认证攻击者可在DNS服务器上创建拒绝服务条件。目前尚不清楚该DoS是否仅导致DNS服务还是整个系统崩溃。虽然关闭DNS非常难，但如此多的资源集中在云中，失去DNS可能会对很多企业造成灾难。

（4）   CVE-2022-3075：Chromium：Mojo 中的数据验证不充分

该补丁是由谷歌Chrome 团队在9月2日发布，可导致攻击者在受影响的基于 Chromium 的浏览器（如Edge）上执行代码，目前已检测到在野利用。这是今年以来在野检测到的第6个Chrome exploit。这一趋势表明这一几乎无所不在的浏览器平台已成为攻击者的热门目标。因此用户因确保已将所有基于Chromium的系统更新。

在余下的“严重”级别的漏洞更新中，两个与Windows Internet Key Exchange (IKE) 协议扩展有关，且可被归为“可蠕虫”类型。仅有运行IPSec 的系统受这两个漏洞影响。另外在Dynamics 365（本地）中也存在两个“严重”漏洞，可导致认证用户在Dynamics 365数据库中以 db_owner身份执行SQL注入攻击并执行命令。

移步至代码执行漏洞，本月超过一半的发布涉及某种远程代码执行的形式。其中，SharePoint 的补丁脱颖而出。微软最近详述了SharePoint 漏洞如何被伊朗威胁组织攻击阿尔巴尼亚政府，导致阿尔巴尼亚与伊朗断交。针对SQL Server 的OLE DB Provider中存在六个RCE漏洞，但要求用户交互。威胁组织需要受影响系统上的用户通过OLEDB连接至恶意SQL服务器，可导致目标服务器接受恶意数据包，从而导致代码执行。ODBC驱动中存在五个RCE漏洞也需用户交互。对于这些漏洞而言，在Access 中打开恶意MDB可导致代码执行，类似于Office 组件中的open-and-own类型漏洞。LDAP中的漏洞也要求用户交互，但并未给出利用场景的其它信息。

Enterprise App Management组件中的漏洞虽然要求进行认证，但仍然复杂。攻击者可利用该漏洞安装任意系统服务并随后以系统权限运行。初始攻陷进行横向移动后，该漏洞可用于维持在目标网络上的持久性。RPC漏洞看起来也很有意思，但可能实践性不那么强，因为攻击者需要欺骗目标的本地主机IP地址。.NET中存在一个RCE漏洞，但除了说明要求用户交互外，微软并未透露更多信息。另外，AV1视频扩展和Raw图像扩展也存在更新，这些更新都是通过微软商店自动推出的。如果用户位于断网环境，则需要手动应用这些更新。

本月补丁星期二中共有19个提权修复方案，包括以上提到的CLFS补丁。很多修复方案要求认证用户在受感染系统上运行特殊构造的代码。Windows Defender Mac版中的漏洞适合这一描述，内核相关补丁也适合。然而，一些其它漏洞并非如此：Credential Roaming Service中的漏洞可导致攻击者获得机器shang 的远程交互登录权限；Kerberos中的漏洞可导致系统权限但利用可能性不大。Azure Guest Configuration 和 Arc-Enabled 服务器中的提权漏洞引人注目，它可被用于取代微软交付的代码，在Guest 配置守护进程中以root身份运行。在启用Azure Arc的服务器中，它可在GC Arc Service或Extension Service 守护进程中运行。

本次补丁星期二中还包括信息泄露漏洞的六个补丁。多数情况下，这些漏洞仅导致含有未指定内存内容的信息泄露后果，不过影响Data Protection Application Programming Interface (DPAPI) 的漏洞是例外。DPAPI可使用户通过当前用户账户或计算机处的信息加密数据。该漏洞可导致攻击者查看DPAPI主密钥。Windows 图像组件中的漏洞可泄露元文件内存值，尽管目前尚不清楚攻击者可如何利用该信息。

本月还修复了7个DoS漏洞，包括上文提到的DNS漏洞。安全信道中的漏洞可导致攻击者通过发送特殊构造的数据包导致TLS崩溃。IKE中虽然也存在DoS，但不像上述的代码执行漏洞，此处并不需要IPSec。如果用户运行的是具有最新特征的更新的操作系统版本，则需要关注HTTP DoS的更新。该系统需要启用HTTP/3且使用缓冲的I/O服务器受影响。HTTP/3是Windows Server 2022中的新特性，因此在这个少见的实例中，更老旧的更好。

本次补丁星期二还修复了一个位于NDES服务中的安全特性绕过问题。攻击者可绕过该服务的加密服务提供商。

唯一的一个低危漏洞是位于 Edge浏览器中的一个沙箱逃逸漏洞，该漏洞要求用户交互才可被利用。不过该漏洞的CVSS评分为7.7，MITRE给出的评级是“高危”。微软指出，因为牵涉用户交互，因此被评为低危级别，但用户也应将其视作重要的更新并尽快应用补丁。

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~