微软已经针对其产品中的 48 个新漏洞发布了修复程序,其中一个是攻击者正在积极利用的漏洞,另一个是已公开披露但目前尚未被积极利用的漏洞。
该公司在今年最后一次月度安全更新中修补的漏洞中有六个被列为严重漏洞。 它为 43 个漏洞分配了重要的严重性等级,并对三个缺陷进行了中等严重性评估。
微软的更新 包括过去一个月解决的带外 CVE 补丁,以及谷歌 Chromium 浏览器技术中的 23 个漏洞,微软的 Edge 浏览器正是基于该技术。
积极利用的安全漏洞
攻击者正在积极利用的漏洞(CVE-2022-44698) 并不是微软今天发布补丁的最严重的错误之一。 该缺陷为攻击者提供了绕过 Windows SmartScreen 安全功能的方法,以保护用户免受从 Internet 下载的恶意文件的侵害。
微软表示:“攻击者可以制作一个恶意文件来逃避网络标记 (MOTW) 防御,从而导致有限的完整性和安全功能的可用性损失,例如 Microsoft Office 中的受保护视图,这些功能依赖于 MOTW 标记。”
Immersive Labs 网络威胁研究主管 Kevin Breen 表示,CVE-2022-44698 对组织的风险相对较小。 “它必须与可执行文件或其他恶意代码(如文档或脚本文件)一起使用,”Breen 说。 “在这些情况下,这个 CVE 会绕过 Microsoft 的一些内置信誉扫描和检测——即 SmartScreen,它通常会弹出来告诉用户文件可能不安全。”
同时,Breen 建议,用户不应低估威胁并应迅速修补该问题。
微软将另一个缺陷——DirectX 图形内核中的特权提升问题——描述为一个众所周知的零日漏洞,但并未被积极利用。 该公司评估了漏洞(CVE-2022-44710) 的严重程度为“重要”,如果被利用,攻击者将获得系统级特权。 然而,该公司将这一漏洞描述为攻击者不太可能利用的漏洞。
立即修补漏洞
趋势科技的 ZDI 在 XNUMX 月补丁星期二安全更新中将其他三个漏洞标记为重要: CVE-2022-44713, CVE-2022-41076及 CVE-2022-44699.
CVE-2022-44713 是 Microsoft Outlook for Mac 中的欺骗漏洞。 该漏洞允许攻击者伪装成受信任的用户,并导致受害者将电子邮件误认为来自合法用户。
ZDI 的威胁意识主管 Dustin Childs 表示:“我们不经常强调欺骗性错误,但任何时候你在处理电子邮件客户端中的欺骗性错误时,你都应该注意。” 在一篇博客文章中说. 他说,当与上述攻击者积极利用的 SmartScreen MoTW 绕过漏洞结合使用时,该漏洞可能会特别麻烦。
微软表示,CVE-2022-41076 是一个 PowerShell 远程代码执行 (RCE) 漏洞,允许经过身份验证的攻击者逃脱 PowerShell 远程会话配置并在受影响的系统上运行任意命令。
该公司将该漏洞评估为攻击者更有可能妥协的漏洞,即使攻击本身的复杂性很高。 根据 Childs 的说法,组织应该注意该漏洞,因为这是攻击者在获得网络初始访问权限后希望“在外谋生”时经常利用的漏洞类型。
“绝对不要忽视这个补丁,”蔡尔兹写道。
最后,CVE-2022-44699 是另一个安全绕过漏洞——这次是在 Azure Network Watcher Agent 中 - 如果被利用,可能会影响组织捕获事件响应所需日志的能力。
“可能没有多少企业依赖这个工具,但对于那些使用这个 [Azure Network Watcher] VM 扩展的企业来说,这个修复应该被视为关键并迅速部署,”Childs 说。
思科 Talos 的研究人员 确定了其他三个漏洞 作为组织需要立即解决的关键和问题。 其中之一是 CVE-2022-41127,这是一个影响 Microsoft Dynamics NAV 和本地版本的 Microsoft Dynamics 365 Business Central 的 RCE 漏洞。 Talos 研究人员在一篇博文中表示,成功的利用可能允许攻击者在运行 Microsoft 的 Dynamics NAV ERP 应用程序的服务器上执行任意代码。
供应商认为非常重要的另外两个漏洞是 CVE-2022-44670 和 CVE-2022-44676,两者都是 Windows 安全套接字隧道协议 (SSTP) 中的 RCE 缺陷。
“成功利用这些漏洞需要攻击者赢得竞争条件,但可能使攻击者能够在 RAS 服务器上远程执行代码,”根据微软的公告。
在这些漏洞中, SANS 互联网风暴中心 确定为重要的是(CVE-2022-41089)、.NET Framework 中的 RCE,以及 (CVE-2022-44690) 在 Microsoft SharePoint 服务器中。
在一个 博客文章,Action1 Corp. 漏洞和威胁研究副总裁 Mike Walters 也指出了一个 Windows Print Spooler 提升权限漏洞(CVE-2022-44678),为 另一个问题 观看。
“新解决的 CVE-2022-44678 最有可能被利用,这可能是真的,因为微软上个月修复了另一个与 Print Spooler 相关的零日漏洞,”Walters 说。 “来自 CVE-2022-44678 的风险是相同的:攻击者在成功利用后可以获得 SYSTEM 权限 - 但仅限于本地。”
令人困惑的错误计数
有趣的是,几家供应商对微软本月修补的漏洞数量有不同的看法。 例如,ZDI 评估微软修补了 52 个漏洞; Talos 将数字定为 48,SANS 定为 74,而 Action1 最初让 Microsoft 修补 74,然后将其下调至 52。
SANS 技术学院研究部主任约翰内斯·乌尔里希 (Johannes Ullrich) 表示,这个问题与计算漏洞的不同方式有关。 例如,有些将 Chromium 漏洞包括在他们的计数中,而另一些则没有。
其他人,如 SANS,也包括有时作为漏洞伴随 Microsoft 更新的安全建议。 微软有时也会在月内发布补丁,它也包含在接下来的补丁星期二更新中,一些研究人员不计算这些补丁。
“补丁数量有时会令人困惑,因为补丁星期二的周期在技术上是 XNUMX 月到 XNUMX 月,所以这也将包括本月早些时候发布的带外补丁,还可能包括来自第三方供应商的更新,”Breen 说. “其中最值得注意的是来自 Chromium 的 Google 补丁,Chromium 是微软 Edge 浏览器的基础。”
Breen 说,根据他的统计,自去年 74 月的最后一个补丁星期二以来,已经修复了 51 个漏洞。 这包括 23 个来自微软和 XNUMX 个来自谷歌的 Edge 浏览器。
“如果我们排除带外和 Google Chromium [补丁],今天发布了 49 个漏洞补丁,”他说。
微软发言人表示,该公司今天发布补丁的新 CVE 数量为 48 个。
