微软官方发布了2022年10月的安全更新。本月更新公布了96个漏洞,包含39个特权提升漏洞、20个远程执行代码漏洞、11个信息泄露漏洞、8个拒绝服务漏洞、5个身份假冒漏洞以及2个安全功能绕过漏洞,其中13个漏洞级别为“Critical”(高危),71个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。
01
涉及组件
- Active Directory Domain Services
- Azure
- Azure Arc
- Client Server Run-time Subsystem (CSRSS)
- Microsoft Edge (Chromium-based)
- Microsoft Graphics Component
- Microsoft Office
- Microsoft Office SharePoint
- Microsoft Office Word
- Microsoft WDAC OLE DB provider for SQL
- NuGet Client
- Remote Access Service Point-to-Point Tunneling Protocol
- Role: Windows Hyper-V
- Service Fabric
- Visual Studio Code
- Windows Active Directory Certificate Services
- Windows ALPC
- Windows CD-ROM Driver
- Windows COM Event System Service
- Windows Connected User Experiences and Telemetry
- Windows CryptoAPI
- Windows Defender
- Windows DHCP Client
- Windows Distributed File System (DFS)
- Windows DWM Core Library
- Windows Event Logging Service
- Windows Group Policy
- Windows Group Policy Preference Client
- Windows Internet Key Exchange (IKE) Protocol
- Windows Kernel
- Windows Local Security Authority (LSA)
- Windows Local Security Authority Subsystem Service (LSASS)
- Windows Local Session Manager (LSM)
- Windows NTFS
- Windows NTLM
- Windows ODBC Driver
- Windows Perception Simulation Service
- Windows Point-to-Point Tunneling Protocol
- Windows Portable Device Enumerator Service
- Windows Print Spooler Components
- Windows Resilient File System (ReFS)
- Windows Secure Channel
- Windows Security Support Provider Interface
- Windows Server Remotely Accessible Registry Keys
- Windows Server Service
- Windows Storage
- Windows TCP/IP
- Windows USB Serial Driver
- Windows Web Account Manager
- Windows Win32K
- Windows WLAN Service
- Windows Workstation Service
(下滑可查看)
02
以下漏洞需特别注意
Windows COM 事件系统服务特权提升漏洞
CVE-2022-41033
严重级别:严重 CVSS:7.8
被利用级别:检测到利用
这是一个攻击复杂度低,无需用户交互的EoP漏洞,且已经检测到在野利用。经过身份验证的攻击者可以利用此漏洞提升易受攻击系统的权限并获得 SYSTEM 权限执行任意代码。
启用 Azure Arc 的 Kubernetes 集群连接特权提升漏洞
CVE-2022-37968
严重级别:高危 CVSS:10
被利用级别:有可能被利用
未经身份验证的攻击者可以利用此漏洞获得 Kubernetes 集群的管理权限,Azure Stack Edge 设备也容易受到攻击。火绒工程师建议未自动升级的用户手动更新至最新版本。
可以参考Microsoft 的安全公告,其提供了其他信息和升级步骤以及如何检查您的当前版本。
https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2022-37968
Active Directory 证书服务特权提升漏洞
CVE-2022-37976
严重级别:高危 CVSS:8.8
被利用级别:有可能被利用
恶意 DCOM 客户端可以迫使 DCOM 服务器通过 Active Directory 证书服务 (ADCS) 对其进行身份验证,并使用凭据发起跨协议攻击,从而获得域管理员权限。
Windows 点对点隧道协议远程代码执行漏洞
CVE-2022-30198/CVE-2022-22035/CVE-2022-24504/CVE-2022-33634/CVE-2022-38047/CVE-2022-38000/CVE-2022-41081
严重级别:高危 CVSS:8.1
被利用级别:有可能被利用
要利用此漏洞,攻击者需要向 PPTP 服务器发送特制的恶意 PPTP 数据包。这可能会让攻击者在该服务器上远程执行任意代码。
Windows CryptoAPI 欺骗漏洞
CVE-2022-34689
严重级别:高危 CVSS:7.5
被利用级别:很有可能被利用
攻击者可以篡改现有的公共 x.509 证书来伪造他们的身份,并作为目标证书执行身份验证或代码签名等操作。
03
修复建议
1、通过火绒个人版/企业版【漏洞修复】功能修复漏洞。
2、下载微软官方提供的补丁
https://msrc.microsoft.com/update-guide
完整微软通告:
https://msrc.microsoft.com/update-guide/releaseNote/2022-Oct