微软十月补丁星期二值得关注的漏洞

该漏洞被指已遭活跃利用。由于它是提权漏洞，因此可能攻击者结合利用了其它代码执行漏洞接管信息。这种攻击类型通常涉及社工如诱骗用户打开附件或浏览恶意网站。尽管经常有相关反钓鱼攻击的培训活动以及安全意识提升活动，但人们倾向于点击一切，因此因速度测试并部署该解决方案。

CVE-2022-37989是对CVE-2022-22047失败补丁的再次修复，该漏洞产生的原因在于CSRSS接受源自不可信流程的输入的规则过于宽松，而CVE-2022-37987是一个新漏洞，通过欺骗CSRSS加载不安全位置中的依赖信息而执行。

该漏洞可导致攻击者获得对启用Azure Arc的Kubernetes 集群的管理控制权限。Azure Stack Edge设备可能也受该漏洞影响。要远程利用该漏洞，攻击者需要了解启用Azure Arc Kubernetes 集群的随机生成的DNS端点。不过该漏洞的CVSS评分仍然达到10分。如果运行这些类型的容器，则需确保已启用自动升级或手动更新至最新版本。

由于涉及用户交互（通常是打开文件），因此多数Office类型的漏洞被评级为“重要”。如果 Preview Pane是攻击向量，则为例外情况；然而，微软表示该漏洞并不属于这种情况。可能该评级是因为在打开特殊构造的文件时缺乏警告对话造成的。不管如何，它是一个释放后使用漏洞，可导致任意指针被传递给释放调用，从而可能导致发生内存损坏。

本月共修复8个不同的拒绝服务漏洞。其中最值得关注的可能是位于TCP/IP中的拒绝服务漏洞，它可被远程未认证攻击者利用且无需用户交互。微软表示启用了IPv6的系统不受影响，不过IPv6在多数系统上是默认启用的。微软并未透露其它7个DoS补丁的详情。该漏洞由奇安信代码安全实验室研究员发现并报送。

除了上述提到的已遭利用0day CVE-2022-41033外，还有一个已公开的漏洞是CVE-2022-41043，它是位于微软Office中的信息泄露漏洞。微软指出，攻击者可利用该漏洞获得对用户认证令牌的访问权限。

遗憾的是，微软并未发布两个已遭利用0day漏洞（CVE-2022-41040和CVE-2022-41082），它们又被称为 “ProxyNotShell”。这些漏洞是由研究员在今年9月末发现的。这些漏洞通过ZDI向微软报送。微软在Exchange安全通告中表示尚未准备好这些修复方案。微软提供相关博客文章，发布缓解措施。

题图：马尔代夫，网络‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~