通告摘要
CVE编号 |
风险等级 |
漏洞名称 |
利用可能 |
CVE-2022-37969 |
重要 |
Windows common log file system driver权限提升漏洞 |
Y/Y/D |
CVE-2022-34718 |
紧急 |
Windows TCP/IP 远程代码执行漏洞 |
N/N/M |
CVE-2022-34721 |
紧急 |
Windows Internet 密钥交换 (IKE) 协议扩展远程代码执行漏洞 |
N/N/L |
CVE-2022-34722 |
紧急 |
Windows Internet 密钥交换 (IKE) 协议扩展远程代码执行漏洞 |
N/N/L |
CVE-2022-34700 |
紧急 |
Microsoft Dynamics CRM (on-premises) 远程代码执行漏洞 |
N/N/L |
CVE-2022-35805 |
紧急 |
Microsoft Dynamics CRM (on-premises) 远程代码执行漏洞 |
N/N/L |
CVE-2022-34729 |
重要 |
Windows GDI 权限提升漏洞 |
N/N/M |
CVE-2022-34725 |
重要 |
Windows ALPC 权限提升漏洞 |
N/N/M |
CVE-2022-35803 |
重要 |
Windows common log file system driver权限提升漏洞 |
N/N/M |
CVE-2022-37957 |
重要 |
Windows 内核权限提升漏洞 |
N/N/M |
CVE-2022-37954 |
重要 |
DirectX 图形内核权限提升漏洞 |
N/N/M |
注:“利用可能”字段包含三个维度(是否公开[Y/N]/是否在野利用[Y/N]/可利用性评估[D/M/L/U/NA])
简写 |
定义 |
翻译 |
Y |
Yes |
是 |
N |
No |
否 |
D |
0-Exploitation detected |
0-检测到利用 |
M |
1-Exploitation more likely * |
1-被利用可能性极大 |
L |
2-Exploitation less likely ** |
2-被利用可能性一般 |
U |
3-Exploitation unlikely *** |
3-被利用可能性很小 |
NA |
4-N/A |
4-不适用 |
其中CVE-2022-23960 ARM:缓存推测限制漏洞细节已公开,CVE-2022-37969 Windows common log file system driver权限提升漏洞已检测到在野利用。
-
Windows common log file system driver权限提升漏洞 (Y/Y/D)
-
ARM:缓存推测限制漏洞 (Y/N/L)
以下6个漏洞被微软标记为“Exploitation More Likely”,这代表这些漏洞更容易被利用:
-
CVE-2022-34718 Windows TCP/IP 远程代码执行漏洞 (N/N/M)
-
CVE-2022-34729 Windows GDI 权限提升漏洞 (N/N/M)
-
CVE-2022-34725 Windows ALPC 权限提升漏洞 (N/N/M)
-
CVE-2022-35803 Windows common log file system driver权限提升漏洞 (N/N/M)
-
CVE-2022-37957 Windows 内核权限提升漏洞 (N/N/M)
-
CVE-2022-37954 DirectX 图形内核权限提升漏洞 (N/N/M)
其中,CVE-2022-34718 Windows TCP/IP 远程代码执行漏洞由奇安信代码安全实验室发现:
鉴于这些漏洞危害较大,建议客户尽快安装更新补丁。
-
CVE-2022-37969 Windows common log file system driver权限提升漏洞 (Y/Y/D)
-
CVE-2022-34718 Windows TCP/IP 远程代码执行漏洞 (N/N/M)
-
CVE-2022-34729 Windows GDI 权限提升漏洞 (N/N/M)
-
CVE-2022-34725 Windows ALPC 权限提升漏洞 (N/N/M)
-
CVE-2022-35803 Windows common log file system driver权限提升漏洞 (N/N/M)
-
CVE-2022-37957 Windows 内核权限提升漏洞 (N/N/M)
-
CVE-2022-37954 DirectX 图形内核权限提升漏洞 (N/N/M)
经研判,以下11个漏洞值得关注,漏洞的详细信息如下:
1、CVE-2022-37969 Windows common log file system driver权限提升漏洞
漏洞名称 |
Windows common log file system driver权限提升漏洞 |
||||
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-37969 |
公开状态 |
已公开 |
在野利用 |
已发现 |
||
漏洞描述 |
该漏洞允许本地用户提升权限。由于 Windows common log file system driver程序中的边界错误,本地非特权用户可以运行一个特制的程序来触发内存损坏并执行任意代码,提升权限。在今年4月补丁日,微软修复了CLFS中的一个类似的漏洞CVE-2022-24521。需要注意的是,这个漏洞已发现在野利用。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37969 |
2、CVE-2022-34718 Windows TCP/IP 远程代码执行漏洞
漏洞名称 |
Windows TCP/IP 远程代码执行漏洞 |
||||
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-34718 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
该漏洞允许远程攻击者在系统上执行任意代码。由于在 Windows TCP/IP 中对用户输入没有进行充分的验证,远程攻击者可以发送一个特制的 IPv6数据包,触发漏洞,并在目标系统上执行任意代码。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34718 |
3、CVE-2022-34721 Windows Internet 密钥交换 (IKE) 协议扩展远程代码执行漏洞
漏洞名称 |
Windows Internet 密钥交换 (IKE) 协议扩展远程代码执行漏洞 |
||||
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-34721 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
该漏洞允许远程攻击者在系统上执行任意代码。这个漏洞的存在是由于在处理 IKEv1数据包时,用户输入没有得到充分的验证。远程攻击者可以向受影响的系统发送特制的 IKEv1数据包,触发漏洞,并执行任意代码。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34721 |
4、CVE-2022-34722 Windows Internet 密钥交换 (IKE) 协议扩展远程代码执行漏洞
漏洞名称 |
Windows Internet 密钥交换(IKE) 协议扩展远程代码执行漏洞 |
||||
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-34722 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
该漏洞允许远程攻击者在系统上执行任意代码。这个漏洞的存在是由于在处理 IKEv1数据包时用户提供的输入没有得到充分的验证。远程攻击者可以向受影响的系统发送特制的 IKEv1数据包,触发漏洞并执行任意代码。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34722 |
5、CVE-2022-34700 Microsoft Dynamics CRM (on-premises) 远程代码执行漏洞
漏洞名称 |
Microsoft Dynamics CRM (on-premises) 远程代码执行漏洞 |
||||
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-34700 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
该漏洞允许远程用户在数据库中执行任意的 SQL 查询。漏洞的存在是由于用户提供的数据没有得到充分的过滤。远程用户可以向受影响的应用程序发送精心制作的请求,并在应用程序数据库中执行任意的 SQL 命令。 成功利用该漏洞允许远程攻击者读取、删除、修改数据库中的数据,并获得对受影响应用程序的完全控制权。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34700 |
6、CVE-2022-35805 Microsoft Dynamics CRM (on-premises) 远程代码执行漏洞
漏洞名称 |
Microsoft Dynamics CRM (on-premises) 远程代码执行漏洞 |
||||
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-35805 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
该漏洞允许远程攻击者在数据库中执行任意的 SQL 查询。漏洞的存在是由于用户提供的数据在 Microsoft Dynamics CRM (内部)中没有得到足够的过滤。远程用户可以向受影响的应用程序发送精心制作的请求,并在应用程序数据库中执行任意的 SQL 命令。 成功利用该漏洞允许远程攻击者读取、删除、修改数据库中的数据,并获得对受影响应用程序的完全控制权。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-35805 |
7、CVE-2022-34729 Windows GDI 权限提升漏洞
漏洞名称 |
Windows GDI 权限提升漏洞 |
||||
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-34729 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
该漏洞允许本地用户升级系统上的特权。该漏洞的存在是由于应用程序没有正确地在 Windows GDI 中施加安全限制,从而导致安全限制绕过和权限提升。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34729 |
8、CVE-2022-34725 Windows ALPC 权限提升漏洞
漏洞名称 |
Windows ALPC 权限提升漏洞 |
||||
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-34725 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
该漏洞允许本地用户升级系统上的特权。由于 Windows ALPC 中的条件竞争。本地用户可以利用条件竞争,访问未授权的敏感信息,并提升权限。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34725 |
9、CVE-2022-35803 Windows common log file system driver权限提升漏洞
漏洞名称 |
Windows common log file system driver权限提升漏洞 |
||||
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-35803 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
该漏洞允许本地用户升级系统上的特权。该漏洞的存在是由于应用程序没有正确地对 Windows common log file system driver施加安全限制,从而导致安全限制绕过和权限提升。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-35803 |
10、CVE-2022-37957 Windows 内核权限提升漏洞
漏洞名称 |
Windows 内核权限提升漏洞 |
||||
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-37957 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
该漏洞允许本地用户升级系统上的特权。漏洞的存在是由于应用程序没有正确地在 Windows 内核中施加安全限制,从而导致安全限制绕过和权限提升。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37957 |
11、CVE-2022-37954 DirectX 图形内核权限提升漏洞
漏洞名称 |
DirectX 图形内核权限提升漏洞 |
||||
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-37954 |
公开状态 |
未公开 |
在野利用 |
未发现 |
||
漏洞描述 |
该漏洞允许本地用户升级系统上的特权。该漏洞的存在是由于应用程序没有正确地在 DirectX 图形内核中施加安全限制,从而导致安全限制绕过和权限提升。 |
||||
参考链接 |
|||||
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37954 |
奇安信 CERT风险评级为:高危
使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。
也可以采用以下官方解决方案及缓解方案来防护此漏洞:
Windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
另外,对于不能自动更新的系统版本(如Windows 7、Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的9月补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2022-Sep
奇安信天擎终端安全管理系统解决方案
奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户,可以将补丁库版本更新到:2022.09.14.1及以上版本,对内网终端进行补丁更新。
推荐采用自动化运维方案,如果控制中心可以连接互联网的用户场景,建议设置为自动从奇安信云端更新补丁库至2022.09.14.1版本。
控制中心补丁库更新方式:每天04:00-06:00自动升级,升级源为从互联网升级。
纯隔离网内控制中心不能访问互联网,不能下载补丁库和补丁文件,需使用离线升级工具定期导入补丁库和文件到控制中心。
2022年9月14日,奇安信 CERT发布安全风险通告。
原文始发于微信公众号(奇安信 CERT):微软2022年9月补丁日多产品安全漏洞风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论