聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
(1) CVE-2022-37969:Windows CLFS 驅動提權漏洞
該漏洞位於Common Log File System (CLFS)中,可導致認證攻擊者以提升權限執行代碼。這種漏洞通常封裝在某些社工攻擊形式下,如說服某人打開文件或點擊鏈接,之後更多代碼以提升後的權限執行以接管系統。通常對於某exploit會如何被廣泛地利用我們所知甚少,不過從微軟此次致謝四個不同的研究組織來看,相關攻擊不止針對性攻擊。
(2) CVE-2022-34718:Windows TCP/IP遠程代碼執行漏洞
該漏洞由奇安信代碼安全實驗室研究員發現並報送。該漏洞是「嚴重」級別的漏洞,可導致遠程未認證攻擊者在受影響系統上以提升後的權限執行代碼且無需用戶交互。這種情況足以將其列入「可蠕蟲」類別且獲得9.8的CVSS評分。不過,僅有啟用了IPv6和配置了IPSec的系統才易受攻擊。雖然對於某些人而言是好消息,但如果你用的是IPv6,則也可能運行着IPSec。用戶應迅速測試並部署該更新。
(3) CVE-2022-34724:Windows DNS服務器DoS漏洞
由於沒有代碼執行的可能性,因此該漏洞僅被評級為「重要」等級,但鑑於其潛在影響,用戶應該將其視作「嚴重」等級。遠程未認證攻擊者可在DNS服務器上創建拒絕服務條件。目前尚不清楚該DoS是否僅導致DNS服務還是整個系統崩潰。雖然關閉DNS非常難,但如此多的資源集中在雲中,失去DNS可能會對很多企業造成災難。
(4) CVE-2022-3075:Chromium:Mojo 中的數據驗證不充分
該補丁是由谷歌Chrome 團隊在9月2日發布,可導致攻擊者在受影響的基於 Chromium 的瀏覽器(如Edge)上執行代碼,目前已檢測到在野利用。這是今年以來在野檢測到的第6個Chrome exploit。這一趨勢表明這一幾乎無所不在的瀏覽器平台已成為攻擊者的熱門目標。因此用戶因確保已將所有基於Chromium的系統更新。
在餘下的「嚴重」級別的漏洞更新中,兩個與Windows Internet Key Exchange (IKE) 協議擴展有關,且可被歸為「可蠕蟲」類型。僅有運行IPSec 的系統受這兩個漏洞影響。另外在Dynamics 365(本地)中也存在兩個「嚴重」漏洞,可導致認證用戶在Dynamics 365數據庫中以 db_owner身份執行SQL注入攻擊並執行命令。
移步至代碼執行漏洞,本月超過一半的發布涉及某種遠程代碼執行的形式。其中,SharePoint 的補丁脫穎而出。微軟最近詳述了SharePoint 漏洞如何被伊朗威脅組織攻擊阿爾巴尼亞政府,導致阿爾巴尼亞與伊朗斷交。針對SQL Server 的OLE DB Provider中存在六個RCE漏洞,但要求用戶交互。威脅組織需要受影響系統上的用戶通過OLEDB連接至惡意SQL服務器,可導致目標服務器接受惡意數據包,從而導致代碼執行。ODBC驅動中存在五個RCE漏洞也需用戶交互。對於這些漏洞而言,在Access 中打開惡意MDB可導致代碼執行,類似於Office 組件中的open-and-own類型漏洞。LDAP中的漏洞也要求用戶交互,但並未給出利用場景的其它信息。
Enterprise App Management組件中的漏洞雖然要求進行認證,但仍然複雜。攻擊者可利用該漏洞安裝任意系統服務並隨後以系統權限運行。初始攻陷進行橫向移動後,該漏洞可用於維持在目標網絡上的持久性。RPC漏洞看起來也很有意思,但可能實踐性不那麼強,因為攻擊者需要欺騙目標的本地主機IP地址。.NET中存在一個RCE漏洞,但除了說明要求用戶交互外,微軟並未透露更多信息。另外,AV1視頻擴展和Raw圖像擴展也存在更新,這些更新都是通過微軟商店自動推出的。如果用戶位於斷網環境,則需要手動應用這些更新。
本月補丁星期二中共有19個提權修複方案,包括以上提到的CLFS補丁。很多修複方案要求認證用戶在受感染系統上運行特殊構造的代碼。Windows Defender Mac版中的漏洞適合這一描述,內核相關補丁也適合。然而,一些其它漏洞並非如此:Credential Roaming Service中的漏洞可導致攻擊者獲得機器shang 的遠程交互登錄權限;Kerberos中的漏洞可導致系統權限但利用可能性不大。Azure Guest Configuration 和 Arc-Enabled 服務器中的提權漏洞引人注目,它可被用於取代微軟交付的代碼,在Guest 配置守護進程中以root身份運行。在啟用Azure Arc的服務器中,它可在GC Arc Service或Extension Service 守護進程中運行。
本次補丁星期二中還包括信息泄露漏洞的六個補丁。多數情況下,這些漏洞僅導致含有未指定內存內容的信息泄露後果,不過影響Data Protection Application Programming Interface (DPAPI) 的漏洞是例外。DPAPI可使用戶通過當前用戶賬戶或計算機處的信息加密數據。該漏洞可導致攻擊者查看DPAPI主密鑰。Windows 圖像組件中的漏洞可泄露元文件內存值,儘管目前尚不清楚攻擊者可如何利用該信息。
本月還修復了7個DoS漏洞,包括上文提到的DNS漏洞。安全信道中的漏洞可導致攻擊者通過發送特殊構造的數據包導致TLS崩潰。IKE中雖然也存在DoS,但不像上述的代碼執行漏洞,此處並不需要IPSec。如果用戶運行的是具有最新特徵的更新的操作系統版本,則需要關注HTTP DoS的更新。該系統需要啟用HTTP/3且使用緩衝的I/O服務器受影響。HTTP/3是Windows Server 2022中的新特性,因此在這個少見的實例中,更老舊的更好。
本次補丁星期二還修復了一個位於NDES服務中的安全特性繞過問題。攻擊者可繞過該服務的加密服務提供商。
唯一的一個低危漏洞是位於 Edge瀏覽器中的一個沙箱逃逸漏洞,該漏洞要求用戶交互才可被利用。不過該漏洞的CVSS評分為7.7,MITRE給出的評級是「高危」。微軟指出,因為牽涉用戶交互,因此被評為低危級別,但用戶也應將其視作重要的更新並儘快應用補丁。
https://www.zerodayinitiative.com/blog/2022/9/13/the-september-2022-security-update-review
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表