微软艰难的2022安全年回顾

©网络研究院

这些是管理员需要了解的 2022 年以来最重要的漏洞和修复。

我们即将结束 2022 年的安全年。只有时间会告诉我们 2023 年会发生什么，但对于 Microsoft 网络的 IT 和安全管理员来说，2022 年是混合攻击、本地 Exchange Server 缺陷和需要更多漏洞的一年修补以减轻。这是过去一年的逐月查看。

1 月：本地 Microsoft Exchange Server 漏洞的糟糕开端

2022 年开始于 Microsoft Exchange Server 远程代码执行漏洞 ( CVE-2022-21846 )的发布似乎很合适。它向仍然使用本地 Exchange Server 的任何人提出了一个问题：您是否具备确保其安全的专业知识，尤其是当您成为攻击目标时？Exchange 2019 是目前唯一主流支持的版本。如果您仍在运行 Exchange Server 2013，它将在 2023 年 4 月 11 日结束支持。您轻松过渡的机会之窗正在关闭。迁移到在线 Exchange 或本地 Exchange 2019 或完全考虑不同的电子邮件平台。

2 月：SharePoint 漏洞使其成为攻击目标

2 月的 Microsoft 安全更新包括CVE-2022-22005 ，它修复了 SharePoint Server 中的一个问题。全年 SharePoint 服务器都收到了安全更新。任何负责修补和维护 SharePoint 的人都应该知道，它也处于针对性攻击的目标中。Shodan 搜索工具可用于在 Web 上轻松找到易受攻击的实现，因此请确保对它们进行修补和维护。

3月：你不能总是依赖 Windows Update 来打补丁

March 的安全问题提醒我们，并非所有代码都通过 Windows Update 提供服务。HEVC 视频扩展远程代码执行漏洞 ( CVE-2022-22006 ) 表明您还需要注意如何为 Windows 队列上的应用程序提供服务。如果你禁用了 Microsoft Store，则可能需要采取措施修补此漏洞以及其他类似的代码片段。

4 月：后台打印程序漏洞再次浮出水面

April 展示了我们还没有解决打印后台处理程序的错误。PrintNightmare ( CVE-2022-26796 ) 是 2022 年发现的众多打印后台处理程序漏洞之一。Microsoft 和其他公司迅速发布了补丁，但它们仅解决了远程代码执行漏洞。本地权限提升漏洞利用需要手动解决方法，Microsoft 提供了这种方法。

5 月：Windows NFS 易受远程代码执行攻击

Windows 网络文件系统远程代码执行漏洞 ( CVE-2022-24491 / 24497 ) 最近几个月被名为Cuba Ransomware的恶意软件利用。该漏洞仅在启用了 NFS 的 Windows Server 实现中可被利用。检查您的网络以查找在修补过程中遗漏的资产，这些资产可能会使您的网络面临更多风险。

6 月：LSA 欺骗漏洞亮点需要从 NTLM 转移

Windows LSA 欺骗漏洞 ( CVE-2022-26925 ) 启用了NT LAN Manager (NTLM) 中继攻击，并要求您对证书采取额外的操作。如果您尚未在 Active Directory 证书服务 (AD CS) 服务器上启用身份验证扩展保护 (EPA) 并禁用 HTTP，请查看当时发布的Microsoft 安全公告中的指南。评估您摆脱 NTLM 的能力。根据您的组织，您可能会发现现在可以轻松切断电源线。不幸的是，在您的网络中进行更改之前，您可能无法进行转换。如果您不确定影响，请在 2023 年花点时间调查您的选择。

6 月：Internet Explorer 残留物潜伏着危险

6 月正式结束了对 Internet Explorer 的支持，该浏览器以漏洞和弱点而闻名。不要误以为 Internet Explorer 的组件并未潜伏在您的系统中，并且可能需要未来的更新。例如，SharePoint 仍在使用Trident 浏览器引擎代码，您将来仍会看到 MSHTML 代码被修补。

7 月：Windows CSRSS 中的零日漏洞被利用

Microsoft 在博客中介绍了多个零日漏洞的积极使用以及 7 月发布的 Windows 客户端服务器运行时子系统 (CSRSS) 特权提升漏洞 ( CVE-2022-22047 )，Knotweed组织随后在 7 月底使用该漏洞来获得系统权限并发起攻击。Knotweed 是私营部门攻击者 (PSOA)，在有针对性的攻击中使用多个 Windows 和 Adobe 零日漏洞。

8 月：三个新的 Microsoft Exchange Server 漏洞

八月再次将 Exchange 错误带到桌面上，并修补了三个漏洞 ( CVE-2022-21980 / 24516 / 24477 )。这一系列错误的修复还包括需要启用扩展保护，这是一种确保中间人 (MitM) 攻击被偏转的新技术。几个月来，Microsoft 在扩展保护脚本中包含了额外的保护。再次强调，仅安装更新不足以保护您。您需要手动启用扩展保护以缓解 August 漏洞。调整Exchange Health Checker 脚本以确保您已执行所有步骤。

9 月：Apple 缺陷和 Windows 远程代码执行漏洞

9 月的补丁也带来了 Apple 的缺陷。iOS、iPadOS、macOS 和 Safari 的安全问题已通过更新得到解决。如果您在网络中部署了 Apple 设备，请检查并监控漏洞。

9 月还带来了 Windows TCP/IP 远程代码执行漏洞 ( CVE-2022-34718 )，这并不是最初认为的 Windows 可蠕虫漏洞。只有启用了 IPv6 并配置了 IPSec 的系统容易受到攻击，从而限制了风险。

10月：尽管漏洞被积极利用，但没有 Exchange Server 补丁

鉴于当时有两个 Exchange 错误被积极利用，10 月 Exchange Server 缺少补丁的情况很有趣。Microsoft为管理员提供了解决方法指南来保护他们的系统。CVE-2022-41033修补了一个 Windows COM+ 事件系统服务漏洞，与许多其他漏洞一样，该漏洞是一个权限提升漏洞。攻击者将这些漏洞与社会工程学诱饵捆绑在一起以获得对系统的访问权限。

11 月：Exchange Server、后台打印程序和 Kerberos 补丁和修复

11 月发布了 Exchange Server 补丁以修复被利用的漏洞。它还以CVE-2022-41073的形式带来了另一个打印后台处理程序更新。11 月还为 11 月更新引入的 Kerberos 身份验证问题带来了带外修复。Kerberos 是一项您需要花更多时间来检查网络后果的技术。在接下来的一年中，将发布更新以进一步加强和保护您的网络免受您的攻击。

原文始发于微信公众号（网络研究院）：微软艰难的2022安全年回顾