漏洞公告
根据公告,此次更新中修复的Windows 通用日志文件系统驱动程序特权提升漏洞(CVE-2022-24481、CVE-2022-24521)、Windows 网络文件系统远程代码执行漏洞(CVE-2022-24491、CVE-2022-24497)、远程过程调用运行时远程代码执行漏洞(CVE-2022-26809)、Windows 用户配置文件服务特权提升漏洞(CVE-2022-26904)风险较大,建议尽快安装安全更新补丁或采取临时缓解措施加固系统。相关链接参考:
https://msrc.microsoft.com/update-guide/vulnerability/
一
影响范围
二
漏洞描述
Windows 通用日志文件系统驱动程序特权提升漏洞(CVE-2022-24481、CVE-2022-24521)
|
细节是否公开 |
POC状态 |
EXP状态 |
在野利用 |
|
否 |
未知 |
未知 |
是(CVE-2022-24521) |
该漏洞影响所有开启通用日志文件系统的Windows操作系统,攻击者可以通过精心构造的可执行程序文件或blf文件攻击受影响的Windows计算机,从而导致本地权限提升。
Windows 网络文件系统远程代码执行漏洞(CVE-2022-24491、CVE-2022-24497)
|
细节是否公开 |
POC状态 |
EXP状态 |
在野利用 |
|
否 |
未知 |
未知 |
未知 |
该漏洞仅影响启用了NFS角色的系统,攻击者可以通过精心构造的恶意NFS流量攻击受影响的Windows计算机,从而导致远程代码执行。
远程过程调用运行时远程代码执行漏洞(CVE-2022-26809)
|
细节是否公开 |
POC状态 |
EXP状态 |
在野利用 |
|
否 |
未知 |
未知 |
未知 |
攻击者向目标RPC主机发送精心构造的RPC请求,可触发次漏洞,从而实现远程代码执行。
Windows 用户配置文件服务特权提升漏洞(CVE-2022-26904)
|
细节是否公开 |
POC状态 |
EXP状态 |
在野利用 |
|
否 |
未知 |
未知 |
未知 |
该漏洞影响所有开启用户配置文件服务的Windows操作系统,攻击者可以通过特定操作攻击受影响的Windows计算机,从而导致本地权限提升。
三
缓解措施
高危:目前漏洞细节虽未公开,但是恶意攻击者可以通过补丁对比方式分析出漏洞触发点,并进一步开发漏洞利用代码,Microsoft已发布相关安全更新,鉴于漏洞的严重性,建议受影响的用户尽快修复。安恒信息将在产品的例行更新中加入相关攻击检测和防护能力。
(一)Windows 更新:
自动更新:
Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
手动更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”;
2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”);
3、选择“检查更新”,等待系统将自动检查并下载可用更新;
4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。
(二)目前微软针对支持的产品已发布升级补丁修复了上述漏洞,请用户参考官方通告及时下载更新补丁。
补丁获取:
https://msrc.microsoft.com/update-guide/vulnerability
远程过程调用运行时远程代码执行漏洞(CVE-2022-26809)临时缓解措施:
1、在防火墙中配置访问控制策略,限制不可信的地址对存在风险系统的445端口访问;
2、可参考Microsoft guidelines保护SMB流量:
https://docs.microsoft.com/zh-cn/windows-server/storage/file-server/smb-secure-traffic
安恒信息CERT
2022年4月
原文始发于微信公众号(安恒信息CERT):微软4月安全更新补丁和多个高危漏洞风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论