新闻资讯
NEWS INFORMATION
微软0 day蠕虫漏洞引发关注

微软已经在其2022年4月的月度计划更新中发布了128个安全漏洞的补丁,这其中有10个被评为高危(包括三个不需要用户互动就能利用的可蠕虫式代码执行漏洞)。

还有两个被评为高危的0 day漏洞,这些漏洞允许攻击者本地提权,其中还有一个可被主动利用的漏洞。

这些漏洞在整个产品生态中都有出现,包括微软Windows和Windows组件、微软防御系统和端点防御系统、微软Dynamics、微软Edge(基于Chromium)、Exchange服务器、Office和Office组件、SharePoint服务器、Windows Hyper-V、DNS服务器、Skype for Business、.NET和Visual Studio、Windows App Store和Windows Print Spooler组件。

趋势科技0 day计划的研究员在一篇博客中说,这么大的补丁量自2020年秋季以来还没有见过。然而,此次漏洞数量非常类似于我们去年第一季度所看到的情况。

0 day修补程序

在进行打补丁之前,这个编号为CVE-2022-24521的在野漏洞允许攻击者进行提权。它在CVSS漏洞严重程度表上的评分为7.8(满分10分)。它也被列为Windows通用日志文件系统驱动执行漏洞,并由国家安全局报告给微软。

安全人员指出,目前还不清楚这个漏洞的在野使用范围有多大,在这一点上该漏洞很可能是有针对性的,该漏洞没有被广泛利用。

研究人员指出,攻击者很可能会在他们的攻击活动中把该漏洞与另外一个代码执行漏洞组合起来使用。基于这个原因,Immersive实验室的网络威胁研究员将这个被大量利用的漏洞放在了需要打补丁的系统列表的首位。

他解释说,作为一个允许权限提升的漏洞,这表明威胁攻击者目前正在利用它来实现横向移动。 

第二个0 day漏洞是在Windows用户配置文件服务中发现的,并被追踪编号为CVE-2022-26904。

尽管它被认为是更有可能被利用的,但它的攻击复杂性很高,微软在其公告中指出,成功利用这一漏洞需要攻击者使用其他的一个竞争条件。

即便如此,Tripwire的研究人员指出,包含在Metasploit框架中的漏洞利用代码是可用的。

4月份需要关注的漏洞

在所有允许远程代码执行(RCE)的漏洞中,研究人员将一个可能允许自我传播的漏洞(CVE-2022-26809)列为是最值得关注的漏洞。

它存在于远程过程调用(RPC)的运行库中,在CVSS量表上的评分为9.8(满分10分),并指出该漏洞被利用的可能性更大。如果该漏洞被利用,远程攻击者可以执行具有高权限的代码。

Virsec公司的首席架构师指出,该漏洞是在微软的SMB功能中发现的,该功能主要用于文件共享和进程间通信,包括远程过程调用。RPC是一种通信机制,它允许一个程序向网络(互联网和/或内部网络)上的另一个程序请求服务或功能。RPC可用于存储复制或管理共享卷功能。

他通过电子邮件说,这个漏洞是攻击者利用合法功能进行攻击的另一个例子。利用这个漏洞,攻击者可以创建一个特制的RPC,在远程服务器上以与RPC服务相同的权限来执行代码。

据Childs说,该漏洞可被用来执行一些危害性很高的攻击。

Childs指出,由于该漏洞不需要与用户进行互动,把这些因素结合在一起,在那些可以使用到RPC的机器之间,它就可以成为一个蠕虫病毒。

微软建议及时配置防火墙规则,防止这个漏洞被利用。

Childs警告说,不过,这个漏洞可以被攻击者用来进行横向移动,一定要迅速测试和部署安全措施。

接下来是CVE-2022-24491/24497,这两个是影响Windows网络文件系统(NFS)的RCE漏洞。这两者的CVSS评分也都是9.8分,而且都被列为了更有可能被利用的漏洞列表中。Childs警告说,它们也可能存在潜在的蠕虫式利用。Childs解释说,在启用了NFS角色的系统上,远程攻击者可以在受影响的系统上以高权限执行他们的代码,而不需要用户的互动。同样,这也是一个在NFS服务器之间的可蠕虫式的漏洞。与RPC类似,这通常会在网络周边被阻止。

Immersive公司的Breen补充说,这些是可能会吸引勒索软件攻击者的漏洞,因为它们有很大的可能性会泄露用户的关键数据。 安全团队还必须要注意,NFS角色不是Windows设备的默认配置。

其余的关键漏洞如下:

CVE-2022-23259。微软Dynamics 365(企业内部)(CVSS 8.8)

CVE-2022-22008。Windows Hyper-V (CVSS 7.7)

CVE-2022-23257: Windows Hyper-V (CVSS 8.6)

CVE-2022-24537: Windows Hyper-V (CVSS 7.7)

CVE-2022-26919: Windows LDAP (CVSS 8.1)

CVE-2022-24541: Windows服务器 (CVSS 8.8)

CVE-2022-24500: Windows SMB (CVSS 8.8)

其他需要注意的漏洞

值得一提的是,在Windows域名服务器(DNS)中发现的高达18个漏洞中,有一个(CVE-2022-26815)允许RCE,并被列为高危漏洞,CVSS评分为7.2。

微软指出,虽然这种攻击的复杂性很低,攻击者或目标用户需要特定的高权限才能够成功利用。为了安全起见,企业应该对管理组定期进行验证和审计。

同时,这里有几个重要的缓解措施需要指出。第一个是,服务器只有启用了动态更新,才会受到这个漏洞的影响。CVSS还列出了一些利用漏洞的条件。尽管如此,攻击者在DNS服务器上获得RCE的机会太多了,所以应该让你的DNS服务器打上补丁。