Microsoft 零日漏洞、蠕虫漏洞引发关注

时间戳记:12年2022月4日下午00:XNUMX
源节点: 1577427

在星期二的 XNUMX 月补丁中,这家计算巨头解决了零日攻击和几个关键安全漏洞,其中包括三个允许自我传播攻击的漏洞。

微软已为其 128 年 2022 月发布了 XNUMX 个安全漏洞的补丁程序 每月预定更新 – 其中十个被评为严重(包括三个不需要用户交互即可利用的蠕虫代码执行错误)。

还有两个重要的零日漏洞允许特权升级,其中一个被列为处于积极利用之下。

更新中的错误遍布整个产品组合,包括 Microsoft Windows 和 Windows 组件、Microsoft Defender 和 Defender for Endpoint、Microsoft Dynamics、Microsoft Edge(基于 Chromium)、Exchange Server、Office 和 Office 组件、SharePoint Server、Windows Hyper -V、DNS 服务器、Skype for Business、.NET 和 Visual Studio、Windows App Store 和 Windows Print Spooler 组件。

信息安全内部人士通讯

“自 2020 年秋季以来,从未出现过如此大量的补丁。但是,这个水平与我们在去年第一季度看到的情况相似,”趋势科技零日倡议研究员 Dustin Childs 在 一个博客 分解修复。

零日补丁

在修补之前在野外被利用的漏洞允许特权升级,并被跟踪为 CVE-2022-24521. 它在 CVSS 漏洞严重性等级上的评分为 7.8 分(满分 10 分)。 它被列为“Windows 通用日志文件系统驱动程序执行漏洞”,并由美国国家安全局报告给 Microsoft。

“没有说明该漏洞在野外的使用范围有多大,但它可能仍然是针对这一点的,并且没有广泛使用,”Childs 指出。 “在情况发生变化之前修补你的系统。”

研究人员指出,攻击者可能会在他们的活动中将其与单独的代码执行错误配对。 出于这个原因,Immersive Labs 的网络威胁研究主管 Kevin Breen 将积极利用的漏洞置于修补优先列表的首位。

“作为升级权限的漏洞类型,这表明威胁行为者目前正在使用它来帮助横向移动以利用预先存在的立足点,”他解释说。

在 Windows 用户配置文件服务中找到第二个零日,并被跟踪为 CVE-2022-26904.

它还允许特权升级,并且 CVSS 评分为 7。尽管它被列为更有可能被利用,但它具有很高的攻击复杂性,微软在其公告中指出,因为“成功利用此漏洞需要攻击者赢得比赛健康)状况。”

即便如此,Tripwire 的研究人员指出,漏洞利用代码可用于该漏洞,包括 Metasploit框架.

四月的关键问题

在所有允许远程代码执行 (RCE) 的严重缺陷中,研究人员标记了一个可能允许自我传播漏洞利用的错误 (CVE-2022-26809) 作为最受关注的问题。

它存在于远程过程调用 (RPC) 运行时库中,在 CVSS 量表上的评分为 9.8(满分 10 分),被利用的可能性更大。 如果被利用,远程攻击者可以执行具有高权限的代码。

Virsec 的首席架构师 Danny Kim 指出,该漏洞特别存在于 Microsoft 的服务器消息块 (SMB) 功能中,该功能主要用于文件共享和进程间通信,包括远程过程调用。 RPC 是一种通信机制,它允许一个程序从位于网络(互联网和/或内部网)上的另一个程序请求服务或功能。 RPC 可用于存储副本或管理共享卷等技术。

“这个漏洞是攻击者利用合法功能获取恶意利益的另一个例子,”他通过电子邮件说。 “利用该漏洞,攻击者可以创建一个特制的 RPC,在远程服务器上执行与 RPC 服务具有相同权限的代码。”

Childs 表示,该漏洞可用于制造特别致命的威胁。

“由于不需要用户交互,这些因素结合起来使这种蠕虫病毒,至少在可以访问 RPC 的机器之间,”Childs 指出。

Microsoft 建议配置防火墙规则以帮助防止此漏洞被利用; 使用的静态端口(TCP 端口 135)可以在网络外围被阻止。

“不过,攻击者可以利用这个漏洞进行横向移动,”Childs 警告说。 “一定要快速测试和部署这个。”

接下来是 CVE-2022-24491/24497,两个影响 Windows 网络文件系统 (NFS) 的 RCE 错误。 两者的 CVSS 分数也都为 9.8,并且都被列为更有可能被利用。 Childs 警告说,它们还允许进行蠕虫攻击。

“在启用了 NFS 角色的系统上,远程攻击者可以在受影响的系统上以高权限执行他们的代码,而无需用户交互,”Childs 解释说。 “再一次,这增加了一个可蠕虫的错误——至少在 NFS 服务器之间。 与 RPC 类似,这通常在网络外围被阻止。”

Immersive 的 Breen 补充说:“这些漏洞可能会吸引勒索软件运营商,因为它们提供了暴露关键数据的可能性。 对于安全团队来说,注意 NFS 角色不是 Windows 设备的默认配置也很重要。”

其余严重漏洞如下:

注意的其他错误

另外值得一提的是:在 Windows 域名服务器 (DNS) 中发现的多达 18 个错误中,有一个 (CVE-2022-26815) 允许 RCE 并被列为重要,CVSS 得分为 7.2。

微软指出,虽然攻击的复杂性很低,但“攻击者或目标用户需要特定的提升权限 [才能成功利用]。 作为最佳实践,应该对行政组进行定期验证和审计。”

同时,“这里需要指出一些重要的缓解措施,”Childs 指出。 “首先,必须启用动态更新才能使服务器受到此错误的影响。 CVSS 还列出了一些可以利用的特权级别。 尽管如此,攻击者在 DNS 服务器上获得 RCE 的任何机会都太多了,因此请为您的 DNS 服务器打补丁。”

迁移到云端? 发现新兴的云安全威胁以及有关如何使用我们的资产保护您的资产的可靠建议 免费下载电子书,“云安全:2022 年的预测”。 我们探讨了组织的主要风险和挑战、防御的最佳实践以及在这种动态计算环境中安全成功的建议,包括方便的清单。

时间戳记:

更多来自 关键基础设施