微软 10 月份的补丁星期二更新共解决了85 个安全漏洞,包括针对在野外积极利用的零日漏洞的修复。
在 85 个错误中,15 个被评为严重,69 个被评为重要,1 个被评为中等严重程度。但是,此更新不包括针对Exchange Server中积极利用的 ProxyNotShell漏洞的缓解措施。
这些补丁与更新一起解决了自本月初以来发布的基于 Chromium 的 Edge 浏览器中的其他 12 个缺陷。本月补丁列表中位居榜首的是CVE-2022-41033(CVSS 评分:7.8),这是 Windows COM+ 事件系统服务中的一个提权漏洞。一位匿名研究人员报告了该问题。
“成功利用此漏洞的攻击者可以获得 SYSTEM 权限,”该公司在一份公告中表示,并警告说,这一缺陷正在被现实世界的攻击中积极武器化。
该漏洞的性质还意味着该问题可能与其他漏洞链接在一起,以提升权限并在受感染的主机上执行恶意操作。
“这个特定的漏洞是本地权限提升,这意味着攻击者已经需要在主机上执行代码才能使用这个漏洞,”Immersive Labs 网络威胁研究主管 Kev Breen 说。
其他三个值得注意的提权漏洞与 Windows Hyper-V(CVE-2022-37979,CVSS 分数:7.8)、Active Directory 证书服务(CVE-2022-37976,CVSS 分数:8.8)和支持 Azure Arc 的 Kubernetes 有关集群连接(CVE-2022-37968,CVSS 分数:10.0)。
尽管 CVE-2022-37968 带有“不太可能利用”标签,但微软指出,成功利用该漏洞可能允许“未经身份验证的用户提升他们作为集群管理员的权限,并可能获得对 Kubernetes 集群的控制权”。
在其他地方,CVE-2022-41043(CVSS 分数:3.3)——Microsoft Office 中的一个信息泄露漏洞——在发布时被列为公开信息。微软表示,它可以被利用来泄露用户令牌和其他潜在的敏感信息。
Redmond 还修复了 Windows 内核中的 8 个权限提升漏洞、Windows 点对点隧道协议和 SharePoint Server 中的 11 个远程代码执行错误,以及 Print Spooler 模块中的另一个权限提升漏洞 ( CVE-2022-38028 , CVSS 评分:7.8)。
10 月份,Adobe 发布了四个补丁,解决了 Adobe Acrobat 和 Reader、ColdFusion、Commerce 和 Magento 以及 Adobe Dimension 中的 29 个漏洞。通过 ZDI 计划总共报告了 22 个此类错误。ColdFusion的修复似乎是最关键的,解决了多个 CVSS 9.8 代码执行错误。还修复了管理组件服务中的错误。该服务使用管理员用户的硬编码密码。攻击者可以利用此漏洞绕过系统上的身份验证。很难想象硬编码凭证已经在产品中存在了这么长时间而未被发现。
Commerce 和 Magento更新仅解决了一个错误,但它是 CVSS 10。如果您使用这些产品中的任何一个,请确保您快速测试和部署它以修复存储的跨站点脚本 (XSS) 错误。Acrobat 和 Reader的补丁修复了六个错误,其中最严重的是可能导致代码执行的基于堆栈的缓冲区溢出。威胁参与者需要诱骗某人打开特制的 PDF 以获取任意代码执行。Dimension的修复纠正了九个错误,其中八个被评为严重。其中大部分是文件解析错误,需要用户交互才能利用。
Adobe 本月修复的所有错误均未列为公开已知或在发布时受到主动攻击。Adobe 将这些更新归类为部署优先级 3。
2022 年 10 月的 Microsoft 补丁
本月,微软发布了 85 个新补丁,解决了 Microsoft Windows 和 Windows 组件中的 CVE;Azure、Azure Arc 和 Azure DevOps;Microsoft Edge(基于 Chromium);办公和办公组件;视觉工作室代码;Active Directory 域服务和 Active Directory 证书服务;Nu 获取客户端;超V;和 Windows 弹性文件系统 (ReFS)。这是在 Microsoft Edge(基于 Chromium)中修补的 11 个 CVE 和一个用于 Arm 处理器中的侧通道推测的补丁之外的。这使 CVE 的总数达到 96 个。
可能更有趣的是本月的版本中没有包含的内容。Exchange Server 没有更新,尽管有两个 Exchange 漏洞被积极利用了至少两周。这些 bug 是 ZDI 在 9 月初购买的,当时向微软报告。由于没有可用于完全解决这些错误的更新,管理员可以做的最好的事情是确保安装 2021 年 9 月累积更新 (CU)。这将添加Exchange 紧急缓解服务。这会自动安装可用的缓解措施并将诊断数据发送给 Microsoft。
在今天发布的 85 个新补丁中,15 个被评为严重,69 个被评为重要,一个被评为中等严重程度。这个数量与我们在之前 10 月发布的版本中看到的有些一致,但它确实使微软有望超过 2021 年的总量。如果发生这种情况,2022 年将是 Microsoft CVE 的第二繁忙的一年。本月发布的新 CVE 之一被列为公开已知的,而另一个在发布时被列为在野外。让我们仔细看看这个月的一些更有趣的更新,从受到主动攻击的错误开始:
- CVE-2022-41033 - Windows COM+ 事件系统服务特权提升漏洞
此补丁修复了 Microsoft 列出的用于主动攻击的错误,尽管它们指定了这些攻击的范围。由于这是一个权限提升错误,它很可能与旨在接管系统的其他代码执行漏洞配对。这些类型的攻击通常涉及某种形式的社会工程,例如诱使用户打开附件或浏览恶意网站。尽管进行了近乎持续的反网络钓鱼培训,尤其是在“网络安全意识月”期间,但人们倾向于点击所有内容,因此请快速测试和部署此修复程序。
- CVE-2022-37987 / CVE-2022-37989 – Windows 客户端服务器运行时子系统 (CSRSS) 特权提升
漏洞搜索依赖项。CVS-2022-37989 是CVE-2022-22047的失败补丁,这是一个较早的错误,可以看到一些野蛮利用。此漏洞是由于 CSRSS 在接受来自不受信任进程的输入方面过于宽松造成的。相比之下,CVE-2022-37987 是一种新的攻击,它通过欺骗 CSRSS 从不安全的位置加载依赖信息来发挥作用。未来我们将在我们的博客上发布有关这些错误的更多详细信息。
- CVE-2022-37968 - 支持 Azure Arc 的 Kubernetes 集群连接特权提升漏洞
此漏洞可能允许攻击者获得对支持 Azure Arc 的 Kubernetes 集群的管理控制。Azure Stack Edge 设备也可能受到此错误的影响。要远程利用这一点,攻击者需要知道为启用 Azure Arc 的 Kubernetes 集群随机生成的 DNS 端点。尽管如此,这个漏洞还是获得了罕见的 CVSS 10 等级——系统允许的最高严重等级。如果您正在运行这些类型的容器,请确保您已启用自动升级或通过在 Azure CLI 中运行适当的命令手动更新到最新版本。
- CVE-2022-38048 - Microsoft Office 远程代码执行漏洞
该漏洞由名为“hades_kito”的研究人员报告给 ZDI,是一个罕见的严重级别的 Office 漏洞。大多数 Office 漏洞都被评为重要漏洞,因为它们涉及用户交互——通常是打开文件。一个例外是预览窗格是一种攻击媒介,但是,微软在此声明并非如此。评级结果可能是由于打开特制文件时缺少警告对话框。无论哪种方式,这都是一个 UAF,它可能导致将任意指针传递给自由调用,这可能导致进一步的内存损坏。
原文始发于微信公众号(祺印说信安):微软2022年10月份于周二补丁日针对85个漏洞发布安全补丁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论