通过这种级别的访问,攻击者能够禁用本地服务,例如端点检测和安全工具,通过 SYSTEM 访问权限,他们还可以部署 Mimikatz 等工具,这些工具可用于恢复更多管理员和域级别账户,从而快速传播威胁。
除了微软的“检测到漏洞利用”评估外,我们对攻击的性质和规模知之甚少。该公司的威胁情报中心 (MSTIC) 和安全响应中心 (MSRC) 报告了该漏洞。
除了 CVE-2022-22047,在同一组件中还修复了另外两个特权提升漏洞——CVE-2022-22026(CVSS 分数:8.8)和CVE-2022-22049(CVSS 分数:7.8)——由 Google 报告零计划研究员谢尔盖·格拉祖诺夫。
微软在 CVE-2022-22026 的公告中表示,经过本地身份验证的攻击者可以将特制数据发送到本地 CSRSS 服务,以将他们的权限从AppContainer提升到 SYSTEM。
因为 AppContainer 环境被认为是一个可防御的安全边界,所以任何能够绕过边界的进程都被认为是 Scope 的变化。然后攻击者可以以比 AppContainer 执行环境更高的完整性级别执行代码或访问资源。
微软还修复了 Windows 网络文件系统 ( CVE-2022-22029和CVE-2022-22039 )、Windows 图形 ( CVE-2022-30221 )、远程过程调用运行时 ( CVE-2022- 22038 ) 和 Windows Shell ( CVE-2022-30222 )。
该更新进一步突出了Azure Site Recovery业务连续性服务中多达 32 个问题的修补程序。其中两个缺陷与远程代码执行有关,其余 30 个与特权升级有关。
微软表示:“成功利用 [...] 需要攻击者破坏与配置服务器关联的其中一个虚拟机的管理员凭据,不允许泄露任何机密信息,但可能允许攻击者修改可能导致服务不可用的数据。”
最重要的是,微软 7 月的更新还包含对 Windows Print Spooler 模块中的四个权限提升漏洞(CVE-2022-22022、CVE-2022-22041、CVE-2022-30206和CVE-2022-30226)的修复。2022 年 6 月的短暂喘息,突显了困扰该技术的似乎永无止境的缺陷流。
星期二补丁更新是针对篡改 Windows Server 服务 ( CVE-2022-30216 ) 和 Microsoft Defender for Endpoint ( CVE-2022-33637 ) 中的漏洞以及 Internet 中的三个拒绝服务 (DoS) 漏洞的两个显着修复信息服务 ( CVE-2022-22025和CVE-2022-22040 ) 和安全账户管理器 ( CVE-2022-30208 )。
下一个星期二补丁日是 8 月 9 日,在拉斯维加斯的 Black Hat 展示如何确定低补丁质量时代的风险。
友情提醒:请保持安全,及时修补补丁,并在正式修补前做好测试和备份,以防出现不可预见风险,祝大家修复过程中所有重新启动都顺利和干净!
原文始发于微信公众号(祺印说信安):微软2022年7月份于周二补丁日针对 84个漏洞发布安全补丁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论