微软十二月补丁星期二值得关注的漏洞

十二月补丁星期二，微软共发布52个补丁，加上本月早些时候修复的两个CVE，微软共计修复54个漏洞。在这52个漏洞中，43个是“重要”评级，3个是“中危”评级。一如既往，12月的补丁星期二体量较小，整体而言，2022年是微软第二个最忙碌的补丁年，共计修复900多个CVE。

2个已遭利用的0day

微软在十二月补丁星期二中修复了2个0day，其中一个已遭活跃利用，另外一个遭公开披露。按照微软的定义，这两个漏洞均为0day。

CVE-2022-44698是Windows SmartScreen 安全特性绕过漏洞。关于该漏洞的讨论颇多，很可能和上个月修复的 MoTW漏洞（CVE-2022-41091）有关。攻击者可创建文件，躲避MoTW检测，绕过安全特性如微软 Office 中的受保护视图等。鉴于很多钓鱼攻击都依赖于受害者打开附件，因此这些防护措施在阻止恶意软件和其它攻击方面非常重要。

CVE-2022-44710是 DirectX Graphics Kernel 提权漏洞。微软提到，“成功利用该漏洞要求攻击者获得条件竞争，从而获得系统权限。”

值得关注的其它漏洞

CVE-2022-44713是Mac版微软Outlook 中的欺骗漏洞。该漏洞可使攻击者伪装成受信任用户。组合利用CVE-2022-44698可诱骗用户以为收到源自可信人员的邮件，从而遭受攻击。

CVE-2022-41076是PowerShell 远程代码执行漏洞。该严重漏洞可导致认证用户逃逸 PowerShell 远程会话配置并在受影响系统上运行未经批准的命令。攻击者常试图在初次攻陷后实施“离地攻击 (live off the land)”，即使用系统上的工具维持访问权限并在网络中移动。PowerShell 就是这样一种工具，因此任何绕过限制的漏洞都有可能遭滥用。

CVE-2022-44699是Azure Network Watcher Agent 安全特性绕过漏洞。良好日志对于事件响应工作至关重要，这也是该补丁的意义所在。该漏洞可导致攻击者终止从 Network Watcher agent 的数据包抓取。虽然依赖于该工具的企业可能并不是很多，但使用该VM扩展的用户应将其视作严重漏洞并快速部署补丁。