close

奇安信CERT

致力於第一時間為企業級用戶提供安全風險通告和有效解決方案。


通告摘要


本月,微軟共發布了84個漏洞的補丁程序,修復了Windows Network File System、Windows CSRSS、Active Directory Federation Services、Windows Server Service等產品中的漏洞。經研判,以下10個重要漏洞值得關注(包括個4緊急漏洞和6個重要漏洞)。


風險通告

本月,微軟共發布了84個漏洞的補丁程序,修復了Windows Network File System、Windows CSRSS、Active Directory Federation Services、Windows Server Service等產品中的漏洞。經研判,以下10個重要漏洞值得關注(包括個4緊急漏洞和6個重要漏洞),如下表所示:

CVE編號

風險等級

漏洞名稱

利用可能

CVE-2022-22038

緊急

Remote Procedure Call Runtime遠程代碼執行漏洞

N/N/L

CVE-2022-22029

緊急

Windows Network File System遠程代碼執行漏洞

N/N/L

CVE-2022-22039

緊急

Windows Network File System 遠程代碼執行漏洞

N/N/L

CVE-2022-30221

緊急

Windows Graphics Component遠程代碼執行漏洞

N/N/L

CVE-2022-22047

重要

Windows CSRSS 權限提升漏洞

N/Y/D

CVE-2022-30216

重要

Windows Server Service 篡改漏洞

N/N/M

CVE-2022-30220

重要

Windows Common Log File System Driver 權限提升漏洞

N/N/M

CVE-2022-22034

重要

Windows Graphics Component 權限提升漏洞

N/N/M

CVE-2022-30215

重要

Active Directory Federation Services 權限提升漏洞

N/N/M

CVE-2022-30202

重要

Windows Advanced Local Procedure Call 權限提升漏洞

N/N/M

註:「利用可能」字段包含三個維度(是否公開[Y/N]/是否在野利用[Y/N]/可利用性評估[D/M/L/U/NA])

簡寫

定義

翻譯

Y

Yes

N

No

D

0-Exploitation detected

0-檢測到利用

M

1-Exploitation more likely *

1-被利用可能性極大

L

2-Exploitation less likely **

2-被利用可能性一般

U

3-Exploitation unlikely ***

3-被利用可能性很小

NA

4-N/A

4-不適用


其中CVE-2022-22047 Windows CSRSS 權限提升漏洞已檢測到在野利用。以下5個漏洞被微軟標記為 「Exploitation More Likely」,這代表這些漏洞更容易被利用:

CVE-2022-30220 Windows Common Log File System Driver 權限提升漏洞(N/N/M)

CVE-2022-30216 Windows Server Service 篡改漏洞(N/N/M)

CVE-2022-30215 Active Directory Federation Services 權限提升漏洞 (N/N/M)

CVE-2022-30202 Windows Advanced Local Procedure Call 權限提升漏洞 (N/N/M)

CVE-2022-22034 Windows Graphics Component 權限提升漏洞 (N/N/M)

以下兩個漏洞由奇安信代碼安全實驗室研究員發現並提交,包括:CVE-2022-22042 Windows Hyper-V信息泄露漏洞和CVE-2022-30223 Windows Hyper-V信息泄露漏洞。鑑於這些漏洞危害較大,建議客戶儘快安裝更新補丁。


漏洞描述

本月,微軟共發布了84個漏洞的補丁程序,其中CVE-2022-22047 Windows CSRSS權限提升漏洞已檢測到在野利用。以下6個漏洞被微軟標記為「Exploitation Detected」或「Exploitation More Likely」,這代表這些漏洞更容易被利用:

CVE-2022-22047 Windows CSRSS 權限提升漏洞 (N/Y/D)

CVE-2022-30220 Windows Common Log File System Driver 權限提升漏洞(N/N/M)

CVE-2022-30216 Windows Server Service 篡改漏洞 (N/N/M)

CVE-2022-30215 Active Directory Federation Services 權限提升漏洞 (N/N/M)

CVE-2022-30202 Windows Advanced Local Procedure Call 權限提升漏洞 (N/N/M)

CVE-2022-22034 Windows Graphics Component 權限提升漏洞 (N/N/M)

經研判,以下10個漏洞值得關注,漏洞的詳細信息如下:


1、CVE-2022-22038 Remote Procedure Call Runtime遠程代碼執行漏洞

漏洞名稱

Remote Procedure Call Runtime遠程代碼執行漏洞

漏洞類型

遠程代碼執行

風險等級

緊急

漏洞ID

CVE-2022-22038

公開狀態

未公開

在野利用

未發現

漏洞描述

Microsoft Remote Procedure Call Runtime 存在遠程代碼執行漏洞,未經身份驗證的遠程攻擊者可通過向目標系統發送特製數據來利用此漏洞,從而在目標系統上執行任意代碼。微軟在通告中指出,要成功利用此漏洞,攻擊者需要通過發送恆定或間歇性數據來重複利用嘗試,並將其攻擊複雜度標記為「高」。

參考鏈接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22038

2、Windows Network File System遠程代碼執行漏洞

漏洞名稱

Windows Network File System遠程代碼執行漏洞

漏洞類型

遠程代碼執行

風險等級

緊急

漏洞ID

詳見描述

公開狀態

未公開

在野利用

未發現

漏洞描述

Windows Network File System存在兩個遠程代碼執行漏洞(CVE-2022-22029和CVE-2022-22039),未經身份驗證的遠程攻擊者可通過向目標NFS服務器發送特製請求來利用這些漏洞,從而在目標系統上執行任意代碼。微軟在通告中指出成功利用此漏洞需要攻擊者贏得競爭條件,並將其攻擊複雜度標記為「高」。

參考鏈接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22029

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22039

3、CVE-2022-30221 Windows Graphics Component遠程代碼執行漏洞

漏洞名稱

Windows Graphics Component遠程代碼執行漏洞

漏洞類型

遠程代碼執行

風險等級

緊急

漏洞ID

CVE-2022-30221

公開狀態

未公開

在野利用

未發現

漏洞描述

Windows Graphics Component 存在遠程代碼執行漏洞,攻擊者可通過誘導用戶連接到攻擊者控制的惡意 RDP 服務器來利用此漏洞,從而以該用戶權限在目標系統上執行任意代碼。另外,Windows 7 Service Pack 1 或 Windows Server 2008 R2 Service Pack 1默認不受此漏洞影響,只有安裝了 RDP 8.0 或 RDP 8.1 才會受到此漏洞的影響。

參考鏈接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30221

4、CVE-2022-22047 Windows CSRSS權限提升漏洞

漏洞名稱

Windows CSRSS權限提升漏洞

漏洞類型

權限提升

風險等級

重要

漏洞ID

CVE-2022-22047

公開狀態

未公開

在野利用

已發現

漏洞描述

客戶端/服務器運行時子系統(CSRSS)存在權限提升漏洞,經過身份認證的本地攻擊者可利用此漏洞在目標系統上以 SYSTEM 權限執行任意代碼。值得注意的是,該漏洞已經被檢測到在野利用。

參考鏈接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22047

5、CVE-2022-30216 Windows Server Service篡改漏洞

漏洞名稱

Windows Server Service篡改漏洞

漏洞類型

安全特性繞過

風險等級

重要

漏洞ID

CVE-2022-30216

公開狀態

未公開

在野利用

未發現

漏洞描述

Windows Server Service存在篡改漏洞,經過身份認證的遠程攻擊者可利用此漏洞在目標系統上執行代碼。成功利用此漏洞需要在受影響的系統上導入惡意證書,經過身份驗證的遠程攻擊者可以將證書上傳至目標服務器。

參考鏈接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30216

6、CVE-2022-30220 Windows Common Log File System Driver權限提升漏洞

漏洞名稱

Windows Common Log File System Driver權限提升漏洞

漏洞類型

權限提升

風險等級

重要

漏洞ID

CVE-2022-30220

公開狀態

未公開

在野利用

未發現

漏洞描述

Windows Common Log File System Driver存在權限提升漏洞,經過身份認證的本地攻擊者可利用此漏洞在目標系統上以 SYSTEM 權限執行任意代碼。

參考鏈接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30220

7、CVE-2022-22034 Windows Graphics Component權限提升漏洞

漏洞名稱

Windows Graphics Component權限提升漏洞

漏洞類型

權限提升

風險等級

重要

漏洞ID

CVE-2022-22034

公開狀態

未公開

在野利用

未發現

漏洞描述

CVE-2022-22034 Windows Graphics Component存在權限提升漏洞,經過身份認證的本地攻擊者可利用此漏洞在目標系統上以 SYSTEM權限執行任意代碼。

參考鏈接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22034

8、CVE-2022-30215 Active Directory Federation Services權限提升漏洞

漏洞名稱

Active Directory Federation Services權限提升漏洞

漏洞類型

權限提升

風險等級

重要

漏洞ID

CVE-2022-30215

公開狀態

未公開

在野利用

未發現

漏洞描述

Active Directory Federation Services 存在權限提升漏洞,經過身份認證的遠程攻擊者可利用此漏洞獲得域管理員權限。微軟在通告中指出成功利用此漏洞需要攻擊者在利用之前採取額外的行動來準備目標環境,並將其攻擊複雜度標記為「高」。

參考鏈接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30215

9、CVE-2022-30202 Windows Advanced Local Procedure Call權限提升漏洞

漏洞名稱

Windows Advanced Local Procedure Call權限提升漏洞

漏洞類型

權限提升

風險等級

重要

漏洞ID

CVE-2022-30202

公開狀態

未公開

在野利用

未發現

漏洞描述

Windows Advanced Local Procedure Call存在權限提升漏洞,經過身份認證的本地攻擊者可利用此漏洞在目標系統上以 SYSTEM 權限執行任意代碼。微軟在通告中指出成功利用此漏洞需要攻擊者贏得競爭條件,並將其攻擊複雜度標記為「高」。

參考鏈接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30202


風險等級

奇安信 CERT風險評級為:高危


風險等級:藍色(一般事件)

處置建議

使用奇安信天擎的客戶可以通過奇安信天擎控制台一鍵更新修補相關漏洞,也可以通過奇安信天擎客戶端一鍵更新修補相關漏洞。

也可以採用以下官方解決方案及緩解方案來防護此漏洞:

Windows自動更新

Windows系統默認啟用 Microsoft Update,當檢測到可用更新時,將會自動下載更新並在下一次啟動時安裝。還可通過以下步驟快速安裝更新:

1、點擊「開始菜單」或按Windows快捷鍵,點擊進入「設置」
2、選擇「更新和安全」,進入「Windows更新」(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入「Windows更新」,步驟為「控制面板」-> 「系統和安全」->「Windows更新」)
3、選擇「檢查更新」,等待系統將自動檢查並下載可用更新
4、重啟計算機,安裝更新

系統重新啟動後,可通過進入「Windows更新」->「查看更新歷史記錄」查看是否成功安裝了更新。對於沒有成功安裝的更新,可以點擊該更新名稱進入微軟官方更新描述鏈接,點擊最新的SSU名稱並在新鏈接中點擊「Microsoft 更新目錄」,然後在新鏈接中選擇適用於目標系統的補丁進行下載並安裝。

手動安裝補丁

另外,對於不能自動更新的系統版本(如Windows 7、Windows Server 2008、Windows Server 2008 R2),可參考以下鏈接下載適用於該系統的7月補丁並安裝:

https://msrc.microsoft.com/update-guide/releaseNote/2022-Jul

CVE-2022-22029 Windows Network File System 遠程代碼執行漏洞緩解措施

此漏洞僅影響安裝了NFS服務器的系統,並且在NFSv4.1中不可利用。如果客戶使用的是NFSv3,則可以通過以下PowerShell命令禁用NFSv3來暫時緩解漏洞影響,這可能會影響業務:

Set-NfsServerConfiguration -EnableNFSV3 $false

執行完命令後,您將需要重新啟動 NFS 服務器或重新啟動機器。以管理員權限執行以下命令可重啟NFS服務器:

nfsadmin server stopnfsadmin server start

要確認 NFSv3 已關閉,可在 PowerShell 窗口中運行Get-NfsServerConfiguration 命令,如下所示(EnableNFSV3 : False):

若需要重新啟用NFSv3可以運行以下PowerShell命令。執行命令之後,需要重啟NFS服務或重啟機器:

Set-NfsServerConfiguration -EnableNFSV3 $True


產品線解決方案

奇安信天擎終端安全管理系統解決方案

奇安信天擎終端安全管理系統並且有漏洞修復相關模塊的用戶,可以將補丁庫版本更新到:2022.07.13.1及以上版本,對內網終端進行補丁更新。

推薦採用自動化運維方案,如果控制中心可以連接互聯網的用戶場景,建議設置為自動從奇安信雲端更新補丁庫至2022.07.13.1版本。

控制中心補丁庫更新方式:每天04:00-06:00自動升級,升級源為從互聯網升級。

純隔離網內控制中心不能訪問互聯網,不能下載補丁庫和補丁文件,需使用離線升級工具定期導入補丁庫和文件到控制中心。


參考資料

[1]https://msrc.microsoft.com/update-guide/releaseNote/2022-Jul


時間線

2022年7月13日,奇安信 CERT發布安全風險通告。

點擊閱讀原文
到奇安信NOX-安全監測平台查詢更多漏洞詳情
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()