来看看近期那些Windows高危利用0day漏洞？

0x00 高危漏洞补丁发布

微软最新一轮的月度安全更新已经发布，修复了其软件组合中的68个漏洞，包括六个主动利用的0day漏洞的补丁。其中12个问题被评为严重，两个被评为高，55个问题被评为严重性重要。这还包括OpenSSL的漏洞问题。本月单独解决了基于 Chromium 的浏览器中一个被积极利用的漏洞 （CVE-2022-3723），九月底公开的两个影响Exchange Server的0day CVE也得到了修复，建议客户立即更新其Exchange Server系统。

0x01 Windows高危利用漏洞列表

六个权限提升和代码执行0day漏洞列表如下 -

• CVE-2022-41040（CVSS 分数：8.8） - 微软 Exchange 服务器特权提升漏洞（又名 ProxyNotShell）
• CVE-2022-41082（CVSS 分数：8.8） - 微软 Exchange 服务器特权提升漏洞（又名 ProxyNotShell）
• CVE-2022-41128（CVSS 分数：8.8） - Windows 脚本语言远程执行代码漏洞
• CVE-2022-41125（CVSS 分数：7.8） - Windows CNG 密钥隔离服务特权提升漏洞
• CVE-2022-41073（CVSS 分数：7.8） - Windows 打印后台处理程序特权提升漏洞
• CVE-2022-41091（CVSS 分数：5.4） - Windows 网络安全功能绕过漏洞标记

0x02 其他的高危利用漏洞修复

11月补丁中的其他四个严重级漏洞是 Windows Kerberos （CVE-2022-37967）、Kerberos RC4-HMAC（CVE-2022-37966） 和微软 Exchange Server （CVE-2022-41080） 中的特权提升漏洞，以及影响 Windows Hyper-V 的拒绝服务漏洞 （CVE-2022-38015）。

除了这些问题之外，周二补丁更新还解决了Microsoft Excel，Word，ODBC驱动程序，Office Graphics，SharePoint Server和Visual Studio中的许多远程代码执行缺陷，以及Win32k，Overlay Filter和组策略中的许多权限升级错误。建议以上受影响用户升级系统补丁修复。

关注及时推送最新安全威胁资讯！

「由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责，EXP 与 POC 仅仅只供对已授权的目标使用测试，对未授权目标的测试本文库不承担责任，均由本人自行承担。本文库中的漏洞均为公开的漏洞收集，若文库中的漏洞出现敏感内容产生了部分影响，请及时联系作者删除漏洞，望师傅们谅解。」