聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
2022年2月,微软共发布了51个新补丁,本月早些时候微软Edge (Chromium) 修复了另外19个CVE,因此微软本月共修复了70个CVE。
本次发布的CVE数量和以往持平(除2020年外),基本在50个上下。不过令人惊讶的是本次竟然没有“严重”级别的补丁。在今天发布的补丁中,50个是“重要”级别,1个是“中危”级别。这种情况此前可能发生过,但记忆中似乎并没有一次微软的月度发布不存在“严重”级别。有意思的是,微软本次提供了漏洞的CVSS评分解释,不过漏洞的很多细节并未提供。
本月修复的漏洞中没有一个是已遭利用状态,不过其中一个漏洞在此次发布之时是公开已知的。上个月,微软最初发布时也表示未发现活跃利用,但两天后改口称,“微软发现有限的针对性攻击试图利用该漏洞 (CVE-2022-21882)”。
(1) CVE-2022-21984:Windows DNS 服务器RCE漏洞
该补丁修复了位于微软 DNS 服务器中的一个远程代码执行漏洞。只有启用动态更新时,服务器才会受影响,不过启用动态更新是相对常见的配置。如果环境中具有该设置,攻击者可完全接管DNS并以提升后的权限执行代码。由于动态更新并非默认启用,因此该漏洞并非“严重“级别。然而,如果你的DNS服务器确实使用动态更新,则应将该漏洞视为”严重“级别。
(2) CVE-2022-23280:Mac 版微软 Outlook 安全特性绕过漏洞
该 Outlook 漏洞可导致镜像自动出现在 Preview Pane 中,即使该选项被禁用也不例外。利用该漏洞将仅暴露目标的IP信息。然而,可组合利用影响镜像渲染的其它漏洞实现远程代码执行。如果你使用的是 Mac 版本的 Outlook,则应仔细检查确保所用版本已更新至不受影响的版本。
(3) CVE-2022-21995:Windows Hyper-V 远程代码执行漏洞
该漏洞修复了位于 Hyper-V 服务器中的 guest-to-host 逃逸漏洞。微软将该漏洞的CVSS 利用复杂度评级为“高“,表示攻击者”必须准备目标环境,改进利用可靠性“。由于大多数exploit均为这种情况,因此尚不清楚该漏洞的不同之处在哪。如果在企业中使用了 Hyper-V 服务器,则建议将其视作”严重“级别。
(4) CVE-2022-22005:微软 SharePoint 服务器远程代码执行漏洞
该补丁修复了 SharePoint Server 中的一个漏洞,它可导致认证用户在SharePoint Web Application 服务账号的上下文和权限下在服务器上执行任意 .NET 代码。攻击者需要 “Manage Lists” 权限利用该漏洞,在默认情况下认证用户可创建自己的站点并且在本案例中,用户将称为站点所有人并具有所有必要权限。
余下是本月补丁发布中的其它远程代码执行漏洞,即 HVEC 和 VP9视频扩展的更新。微软指出利用这些漏洞要求本地 exploit。然而,微软表示查看特殊构造的镜像文件将导致 Windows Explorer 崩溃。如情况确实如此,则镜像文件也可被托管在SMB 上就是合理的,从而导致exploit向量是远程而非本地向量。微软应用商店中可找到这些扩展的更新,因此如你处于断网环境,则只需验证具有已更新版本即可。
除上述远程代码执行漏洞外,本月还提供了9个其它和远程代码执行相关的补丁。虽然微软提供了关于 Roaming Security Rights Management Services 的更新,但并未提供攻击者如何利用该漏洞的信息。目前也不存在关于 Windows Runtime 或 Mobile Device Management 漏洞的任何详情。如果你使用的是 MDM 版本的 Windows 系统,则应严肃对待该更新。另外,微软还修复了几个 Office 漏洞。这些RCE漏洞已在 Dynamics 365(本地)和 Dynamics GP 更新中修复。
说到 Dynamics GP,该组件中修复了3个提权漏洞。本月共发布了18个提权补丁,其中 Windows Kernel 的更新是公开已知状态。余下补丁大多位于其它 Windows 组件中且要求已登录用户执行特殊构造的程序。其它提权更新修复了位于 Windows Print Spooler 中的漏洞。自 PrintNightmare 漏洞后,print spooler 备受攻击者和研究人员青睐。需要特别注意的是在天府杯报告的漏洞CVE-2022-21999。与天府杯大赛相关的漏洞已遭利用。
除了此前提到的 Mac 版本Outlook 外,还存在两个安全特性绕过更新。安卓版本OneDrive 中的漏洞要求物理访问已锁定手机,但可导致攻击者在访问 OneDrive 文件的同时绕过认证。确实,如果攻击者访问了未锁定安卓手机,则你可能不太会关注该bug。SharePoint 的安全特性绕过漏洞更为严重,因为它可导致攻击者根据IP范围,绕过对HTTP请求的拦截。
本月发布了与拒绝服务漏洞相关的5个补丁,其中 Microsoft Teams 的补丁尤其值得注意。虽然微软并未发布关于该 exploit 的更多详情,但该公司确实表示所有 Teams 版本需更新,包括 iOS 和安卓版本在内。Hyper-V 服务器中的DoS 也值得注意,因为如成功利用该漏洞,则Hyper-V 主机的功能可能受影响。.NET 中的拒绝服务漏洞影响使用 Kestrel web 服务器的应用程序。Kestrel 是位于 ASP.NET Core 中的跨平台服务器且默认启用。如果将 Kestrel 作为面向互联网的服务器,则绝对需要应用该补丁,在处理某些HTTP/2和 HTTP/3 请求的同时阻止拒绝服务。
本月发布中包括欺骗漏洞的三个补丁。微软发布了一个Azure Data Explorer 补丁。如需接受更新,则需要重启 Kusto.Explorer 应用程序。Dynamics GP 接收到的更新几乎可被视作代码执行。虽然该漏洞位于 web 服务器中,但成功利用该漏洞,可导致攻击者在目标机器上用户浏览器中执行恶意脚本。虽然 SharePoint 中的欺骗漏洞通常指的是某些格式,但本月修复的漏洞不同。已认证攻击者可操纵所控制的 SharePoint 页面,诱骗目标用户在目标权限上下文中像服务器发送受攻击者控制的请求。
本月发布的唯一一个“中危”补丁解决了 Edge(基于 Chromium)web 浏览器中的一个篡改漏洞。
https://www.zerodayinitiative.com/blog/2022/2/8/the-february-2022-security-update-review
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):微软2月补丁星期二值得关注的漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论