通告摘要
|
CVE编号 |
风险等级 |
漏洞名称 |
利用可能 |
|
CVE-2022-22038 |
紧急 |
Remote Procedure Call Runtime远程代码执行漏洞 |
N/N/L |
|
CVE-2022-22029 |
紧急 |
Windows Network File System远程代码执行漏洞 |
N/N/L |
|
CVE-2022-22039 |
紧急 |
Windows Network File System 远程代码执行漏洞 |
N/N/L |
|
CVE-2022-30221 |
紧急 |
Windows Graphics Component远程代码执行漏洞 |
N/N/L |
|
CVE-2022-22047 |
重要 |
Windows CSRSS 权限提升漏洞 |
N/Y/D |
|
CVE-2022-30216 |
重要 |
Windows Server Service 篡改漏洞 |
N/N/M |
|
CVE-2022-30220 |
重要 |
Windows Common Log File System Driver 权限提升漏洞 |
N/N/M |
|
CVE-2022-22034 |
重要 |
Windows Graphics Component 权限提升漏洞 |
N/N/M |
|
CVE-2022-30215 |
重要 |
Active Directory Federation Services 权限提升漏洞 |
N/N/M |
|
CVE-2022-30202 |
重要 |
Windows Advanced Local Procedure Call 权限提升漏洞 |
N/N/M |
注:“利用可能”字段包含三个维度(是否公开[Y/N]/是否在野利用[Y/N]/可利用性评估[D/M/L/U/NA])
|
简写 |
定义 |
翻译 |
|
Y |
Yes |
是 |
|
N |
No |
否 |
|
D |
0-Exploitation detected |
0-检测到利用 |
|
M |
1-Exploitation more likely * |
1-被利用可能性极大 |
|
L |
2-Exploitation less likely ** |
2-被利用可能性一般 |
|
U |
3-Exploitation unlikely *** |
3-被利用可能性很小 |
|
NA |
4-N/A |
4-不适用 |
其中CVE-2022-22047 Windows CSRSS 权限提升漏洞已检测到在野利用。以下5个漏洞被微软标记为 “Exploitation More Likely”,这代表这些漏洞更容易被利用:
-
CVE-2022-30220 Windows Common Log File System Driver 权限提升漏洞(N/N/M)
-
CVE-2022-30216 Windows Server Service 篡改漏洞(N/N/M)
-
CVE-2022-30215 Active Directory Federation Services 权限提升漏洞 (N/N/M)
-
CVE-2022-30202 Windows Advanced Local Procedure Call 权限提升漏洞 (N/N/M)
-
CVE-2022-22034 Windows Graphics Component 权限提升漏洞 (N/N/M)
以下两个漏洞由奇安信代码安全实验室研究员发现并提交,包括:CVE-2022-22042 Windows Hyper-V信息泄露漏洞和CVE-2022-30223 Windows Hyper-V信息泄露漏洞。鉴于这些漏洞危害较大,建议客户尽快安装更新补丁。
-
CVE-2022-22047 Windows CSRSS 权限提升漏洞 (N/Y/D)
-
CVE-2022-30220 Windows Common Log File System Driver 权限提升漏洞(N/N/M)
-
CVE-2022-30216 Windows Server Service 篡改漏洞 (N/N/M)
-
CVE-2022-30215 Active Directory Federation Services 权限提升漏洞 (N/N/M)
-
CVE-2022-30202 Windows Advanced Local Procedure Call 权限提升漏洞 (N/N/M)
-
CVE-2022-22034 Windows Graphics Component 权限提升漏洞 (N/N/M)
经研判,以下10个漏洞值得关注,漏洞的详细信息如下:
1、CVE-2022-22038 Remote Procedure Call Runtime远程代码执行漏洞
|
漏洞名称 |
Remote Procedure Call Runtime远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-22038 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Microsoft Remote Procedure Call Runtime 存在远程代码执行漏洞,未经身份验证的远程攻击者可通过向目标系统发送特制数据来利用此漏洞,从而在目标系统上执行任意代码。微软在通告中指出,要成功利用此漏洞,攻击者需要通过发送恒定或间歇性数据来重复利用尝试,并将其攻击复杂度标记为“高”。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22038 |
|||||
2、Windows Network File System远程代码执行漏洞
|
漏洞名称 |
Windows Network File System远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
详见描述 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows Network File System存在两个远程代码执行漏洞(CVE-2022-22029和CVE-2022-22039),未经身份验证的远程攻击者可通过向目标NFS服务器发送特制请求来利用这些漏洞,从而在目标系统上执行任意代码。微软在通告中指出成功利用此漏洞需要攻击者赢得竞争条件,并将其攻击复杂度标记为“高”。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22029 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22039 |
|||||
3、CVE-2022-30221 Windows Graphics Component远程代码执行漏洞
|
漏洞名称 |
Windows Graphics Component远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-30221 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows Graphics Component 存在远程代码执行漏洞,攻击者可通过诱导用户连接到攻击者控制的恶意 RDP 服务器来利用此漏洞,从而以该用户权限在目标系统上执行任意代码。另外,Windows 7 Service Pack 1 或 Windows Server 2008 R2 Service Pack 1默认不受此漏洞影响,只有安装了 RDP 8.0 或 RDP 8.1 才会受到此漏洞的影响。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30221 |
|||||
4、CVE-2022-22047 Windows CSRSS权限提升漏洞
|
漏洞名称 |
Windows CSRSS权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-22047 |
|
公开状态 |
未公开 |
在野利用 |
已发现 |
||
|
漏洞描述 |
客户端/服务器运行时子系统(CSRSS)存在权限提升漏洞,经过身份认证的本地攻击者可利用此漏洞在目标系统上以 SYSTEM 权限执行任意代码。值得注意的是,该漏洞已经被检测到在野利用。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22047 |
|||||
5、CVE-2022-30216 Windows Server Service篡改漏洞
|
漏洞名称 |
Windows Server Service篡改漏洞 |
||||
|
漏洞类型 |
安全特性绕过 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-30216 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows Server Service存在篡改漏洞,经过身份认证的远程攻击者可利用此漏洞在目标系统上执行代码。成功利用此漏洞需要在受影响的系统上导入恶意证书,经过身份验证的远程攻击者可以将证书上传至目标服务器。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30216 |
|||||
6、CVE-2022-30220 Windows Common Log File System Driver权限提升漏洞
|
漏洞名称 |
Windows Common Log File System Driver权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-30220 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows Common Log File System Driver存在权限提升漏洞,经过身份认证的本地攻击者可利用此漏洞在目标系统上以 SYSTEM 权限执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30220 |
|||||
7、CVE-2022-22034 Windows Graphics Component权限提升漏洞
|
漏洞名称 |
Windows Graphics Component权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-22034 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
CVE-2022-22034 Windows Graphics Component存在权限提升漏洞,经过身份认证的本地攻击者可利用此漏洞在目标系统上以 SYSTEM 权限执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22034 |
|||||
8、CVE-2022-30215 Active Directory Federation Services权限提升漏洞
|
漏洞名称 |
Active Directory Federation Services权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-30215 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Active Directory Federation Services 存在权限提升漏洞,经过身份认证的远程攻击者可利用此漏洞获得域管理员权限。微软在通告中指出成功利用此漏洞需要攻击者在利用之前采取额外的行动来准备目标环境,并将其攻击复杂度标记为“高”。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30215 |
|||||
9、CVE-2022-30202 Windows Advanced Local Procedure Call权限提升漏洞
|
漏洞名称 |
Windows Advanced Local Procedure Call权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-30202 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows Advanced Local Procedure Call存在权限提升漏洞,经过身份认证的本地攻击者可利用此漏洞在目标系统上以 SYSTEM 权限执行任意代码。微软在通告中指出成功利用此漏洞需要攻击者赢得竞争条件,并将其攻击复杂度标记为“高”。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30202 |
|||||
奇安信 CERT风险评级为:高危
使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。
也可以采用以下官方解决方案及缓解方案来防护此漏洞:
Windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
另外,对于不能自动更新的系统版本(如Windows 7、Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的7月补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2022-Jul
CVE-2022-22029 Windows Network File System 远程代码执行漏洞缓解措施
此漏洞仅影响安装了NFS服务器的系统,并且在NFSv4.1中不可利用。如果客户使用的是NFSv3,则可以通过以下PowerShell命令禁用NFSv3来暂时缓解漏洞影响,这可能会影响业务:
Set-NfsServerConfiguration -EnableNFSV3 $false执行完命令后,您将需要重新启动 NFS 服务器或重新启动机器。以管理员权限执行以下命令可重启NFS服务器:
nfsadmin server stopnfsadmin server start
要确认 NFSv3 已关闭,可在 PowerShell 窗口中运行 Get-NfsServerConfiguration 命令,如下所示(EnableNFSV3 : False):
若需要重新启用NFSv3可以运行以下PowerShell命令。执行命令之后,需要重启NFS服务或重启机器:
Set-NfsServerConfiguration -EnableNFSV3 $True
奇安信天擎终端安全管理系统解决方案
奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户,可以将补丁库版本更新到:2022.07.13.1及以上版本,对内网终端进行补丁更新。
推荐采用自动化运维方案,如果控制中心可以连接互联网的用户场景,建议设置为自动从奇安信云端更新补丁库至2022.07.13.1版本。
控制中心补丁库更新方式:每天04:00-06:00自动升级,升级源为从互联网升级。
纯隔离网内控制中心不能访问互联网,不能下载补丁库和补丁文件,需使用离线升级工具定期导入补丁库和文件到控制中心。
2022年7月13日,奇安信 CERT发布安全风险通告。
原文始发于微信公众号(奇安信 CERT):微软2022年7月补丁日多产品安全漏洞风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论