微软2022年7月补丁日多产品安全漏洞风险通告

admin 2022年7月13日21:45:00评论45 views字数 6784阅读22分36秒阅读模式
微软2022年7月补丁日多产品安全漏洞风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




通告摘要



月,微软共发布了84个漏洞的补丁程序,修复了Windows Network File System、Windows CSRSS、Active Directory Federation Services、Windows Server Service等产品中的漏洞。经研判,以下10个重要漏洞值得关注(包括个4紧急漏洞和6个重要漏洞)。


风险通告

本月,微软共发布了84个漏洞的补丁程序,修复了Windows Network File System、Windows CSRSS、Active Directory Federation Services、Windows Server Service等产品中的漏洞。经研判,以下10个重要漏洞值得关注(包括个4紧急漏洞和6个重要漏洞),如下表所示

CVE编号

风险等级

漏洞名称

利用可能

CVE-2022-22038

紧急

Remote Procedure Call Runtime远程代码执行漏洞

N/N/L

CVE-2022-22029

紧急

Windows Network File System远程代码执行漏洞

N/N/L

CVE-2022-22039

紧急

Windows Network File System 远程代码执行漏洞

N/N/L

CVE-2022-30221

紧急

Windows Graphics Component远程代码执行漏洞

N/N/L

CVE-2022-22047

重要

Windows CSRSS 权限提升漏洞

N/Y/D

CVE-2022-30216

重要

Windows Server Service 篡改漏洞

N/N/M

CVE-2022-30220

重要

Windows Common Log File System Driver 权限提升漏洞

N/N/M

CVE-2022-22034

重要

Windows Graphics Component 权限提升漏洞

N/N/M

CVE-2022-30215

重要

Active Directory Federation Services 权限提升漏洞

N/N/M

CVE-2022-30202

重要

Windows Advanced Local   Procedure Call 权限提升漏洞

N/N/M

注:“利用可能”字段包含三个维度(是否公开[Y/N]/是否在野利用[Y/N]/可利用性评估[D/M/L/U/NA])

简写

定义

翻译

Y

Yes

N

No

D

0-Exploitation   detected

0-检测到利用

M

1-Exploitation   more likely *

1-被利用可能性极大

L

2-Exploitation   less likely **

2-被利用可能性一般

U

3-Exploitation   unlikely ***

3-被利用可能性很小

NA

4-N/A

4-不适用


其中CVE-2022-22047 Windows CSRSS 权限提升漏洞已检测到在野利用。以下5个漏洞被微软标记为 “Exploitation More Likely”,这代表这些漏洞更容易被利用:


  • CVE-2022-30220 Windows Common Log File System Driver 权限提升漏洞(N/N/M)

  • CVE-2022-30216 Windows Server Service 篡改漏洞(N/N/M)

  • CVE-2022-30215 Active Directory Federation Services 权限提升漏洞 (N/N/M)

  • CVE-2022-30202 Windows Advanced Local Procedure Call 权限提升漏洞 (N/N/M)

  • CVE-2022-22034 Windows Graphics Component 权限提升漏洞 (N/N/M)


以下两个漏洞由奇安信代码安全实验室研究员发现并提交,包括:CVE-2022-22042 Windows Hyper-V信息泄露漏洞和CVE-2022-30223 Windows Hyper-V信息泄露漏洞。鉴于这些漏洞危害较大,建议客户尽快安装更新补丁。

微软2022年7月补丁日多产品安全漏洞风险通告



漏洞描述

本月,微软共发布了84个漏洞的补丁程序,其中CVE-2022-22047 Windows CSRSS权限提升漏洞已检测到在野利用。以下6个漏洞被微软标记为“Exploitation Detected”或“Exploitation More Likely”,这代表这些漏洞更容易被利用:


  • CVE-2022-22047 Windows CSRSS 权限提升漏洞 (N/Y/D)

  • CVE-2022-30220 Windows Common Log File System Driver 权限提升漏洞(N/N/M)

  • CVE-2022-30216 Windows Server Service 篡改漏洞 (N/N/M)

  • CVE-2022-30215 Active Directory Federation Services 权限提升漏洞 (N/N/M)

  • CVE-2022-30202 Windows Advanced Local Procedure Call 权限提升漏洞 (N/N/M)

  • CVE-2022-22034 Windows Graphics Component 权限提升漏洞 (N/N/M)


经研判,以下10个漏洞值得关注,漏洞的详细信息如下:

1CVE-2022-22038 Remote Procedure Call Runtime远程代码执行漏洞

漏洞名称

Remote Procedure Call Runtime远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

CVE-2022-22038

公开状态

未公开

在野利用

未发现

漏洞描述

Microsoft Remote Procedure Call Runtime 存在远程代码执行漏洞,未经身份验证的远程攻击者可通过向目标系统发送特制数据来利用此漏洞,从而在目标系统上执行任意代码。微软在通告中指出,要成功利用此漏洞,攻击者需要通过发送恒定或间歇性数据来重复利用尝试,并将其攻击复杂度标记为“高”。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22038

 

2Windows Network File System远程代码执行漏洞

漏洞名称

Windows Network File System远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

详见描述

公开状态

未公开

在野利用

未发现

漏洞描述

Windows Network File System存在两个远程代码执行漏洞(CVE-2022-22029和CVE-2022-22039),未经身份验证的远程攻击者可通过向目标NFS服务器发送特制请求来利用这些漏洞,从而在目标系统上执行任意代码。微软在通告中指出成功利用此漏洞需要攻击者赢得竞争条件,并将其攻击复杂度标记为“高”。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22029

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22039

 

3CVE-2022-30221 Windows Graphics Component远程代码执行漏洞

漏洞名称

Windows Graphics Component远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

CVE-2022-30221

公开状态

未公开

在野利用

未发现

漏洞描述

Windows Graphics Component 存在远程代码执行漏洞,攻击者可通过诱导用户连接到攻击者控制的恶意 RDP 服务器来利用此漏洞,从而以该用户权限在目标系统上执行任意代码。另外,Windows 7 Service Pack   1 或   Windows Server 2008 R2 Service Pack 1默认不受此漏洞影响,只有安装了 RDP 8.0 或 RDP 8.1 才会受到此漏洞的影响。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30221

 

4CVE-2022-22047 Windows CSRSS权限提升漏洞

漏洞名称

Windows CSRSS权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2022-22047

公开状态

未公开

在野利用

已发现

漏洞描述

客户端/服务器运行时子系统(CSRSS)存在权限提升漏洞,经过身份认证的本地攻击者可利用此漏洞在目标系统上以 SYSTEM   权限执行任意代码。值得注意的是,该漏洞已经被检测到在野利用。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22047

 

5CVE-2022-30216 Windows Server Service篡改漏洞

漏洞名称

Windows Server Service篡改漏洞

漏洞类型

安全特性绕过

风险等级

重要

漏洞ID

CVE-2022-30216

公开状态

未公开

在野利用

未发现

漏洞描述

Windows Server Service存在篡改漏洞,经过身份认证的远程攻击者可利用此漏洞在目标系统上执行代码。成功利用此漏洞需要在受影响的系统上导入恶意证书,经过身份验证的远程攻击者可以将证书上传至目标服务器。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30216

 

6CVE-2022-30220 Windows Common Log File System Driver权限提升漏洞

漏洞名称

Windows Common Log File System Driver权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2022-30220

公开状态

未公开

在野利用

未发现

漏洞描述

Windows Common Log File System Driver存在权限提升漏洞,经过身份认证的本地攻击者可利用此漏洞在目标系统上以 SYSTEM 权限执行任意代码。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30220

 

7CVE-2022-22034 Windows Graphics Component权限提升漏洞

漏洞名称

Windows Graphics Component权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2022-22034

公开状态

未公开

在野利用

未发现

漏洞描述

CVE-2022-22034 Windows Graphics Component存在权限提升漏洞,经过身份认证的本地攻击者可利用此漏洞在目标系统上以 SYSTEM 权限执行任意代码。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22034

 

8CVE-2022-30215 Active Directory Federation Services权限提升漏洞

漏洞名称

Active Directory Federation Services权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2022-30215

公开状态

未公开

在野利用

未发现

漏洞描述

Active Directory Federation Services 存在权限提升漏洞,经过身份认证的远程攻击者可利用此漏洞获得域管理员权限。微软在通告中指出成功利用此漏洞需要攻击者在利用之前采取额外的行动来准备目标环境,并将其攻击复杂度标记为“高”。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30215

 

9CVE-2022-30202 Windows Advanced Local Procedure Call权限提升漏洞

漏洞名称

Windows Advanced Local Procedure Call权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2022-30202

公开状态

未公开

在野利用

未发现

漏洞描述

Windows Advanced Local Procedure Call存在权限提升漏洞,经过身份认证的本地攻击者可利用此漏洞在目标系统上以 SYSTEM 权限执行任意代码。微软在通告中指出成功利用此漏洞需要攻击者赢得竞争条件,并将其攻击复杂度标记为“高”。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30202



风险等级

奇安信 CERT风险评级为:高危

风险等级:蓝色(一般事件)



处置建议

使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。


也可以采用以下官方解决方案及缓解方案来防护此漏洞:

Windows自动更新

Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新
4、重启计算机,安装更新


系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。


手动安装补丁

另外,对于不能自动更新的系统版本(如Windows 7、Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的7月补丁并安装:

https://msrc.microsoft.com/update-guide/releaseNote/2022-Jul


CVE-2022-22029 Windows Network File System 远程代码执行漏洞缓解措施

此漏洞仅影响安装了NFS服务器的系统,并且在NFSv4.1中不可利用。如果客户使用的是NFSv3,则可以通过以下PowerShell命令禁用NFSv3来暂时缓解漏洞影响,这可能会影响业务:

Set-NfsServerConfiguration -EnableNFSV3 $false

执行完命令后,您将需要重新启动 NFS 服务器或重新启动机器。以管理员权限执行以下命令可重启NFS服务器:

nfsadmin server stopnfsadmin server start

要确认 NFSv3 已关闭,可在 PowerShell 窗口中运行 Get-NfsServerConfiguration 命令,如下所示(EnableNFSV3 : False):

微软2022年7月补丁日多产品安全漏洞风险通告

若需要重新启用NFSv3可以运行以下PowerShell命令。执行命令之后,需要重启NFS服务或重启机器:

Set-NfsServerConfiguration -EnableNFSV3 $True


产品线解决方案

奇安信天擎终端安全管理系统解决方案

奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户,可以将补丁库版本更新到:2022.07.13.1及以上版本,对内网终端进行补丁更新。

推荐采用自动化运维方案,如果控制中心可以连接互联网的用户场景,建议设置为自动从奇安信云端更新补丁库至2022.07.13.1版本。

控制中心补丁库更新方式:每天04:00-06:00自动升级,升级源为从互联网升级。

纯隔离网内控制中心不能访问互联网,不能下载补丁库和补丁文件,需使用离线升级工具定期导入补丁库和文件到控制中心。


参考资料

[1]https://msrc.microsoft.com/update-guide/releaseNote/2022-Jul


时间线

2022年7月13日,奇安信 CERT发布安全风险通告。


点击阅读原文
到奇安信NOX-安全监测平台查询更多漏洞详情

原文始发于微信公众号(奇安信 CERT):微软2022年7月补丁日多产品安全漏洞风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月13日21:45:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   微软2022年7月补丁日多产品安全漏洞风险通告https://cn-sec.com/archives/1174421.html

发表评论

匿名网友 填写信息