Microsoft 發(fā)布 2022 年 6 月安全更新(含多個高危漏洞補丁)
一、預警背景描述
2022 年 6 月 14 日,微軟發(fā)布了 2022 年 6 月份安全更新,修補了 56 個安全漏洞。
二、預警描述
本次更新主要涵蓋 Windows 11、Windows Server 2022、Windows10 21H2、Windows 10 21H1、Windows 10 20H2 & Windows Serverv20H2、Windows Server 2012、Windows RT 8.1 和 MicrosoftOffice-related software 等多個組件。
其中部分重要漏洞描述如下:
1 、 Microsoft Windows 支持診斷工具 (MSDT) 遠程代碼執(zhí)行漏洞( CVE- - 2022- - 30190 )Microsoft 支持診斷工具是內(nèi)置于 Windows 操作系統(tǒng)中的診斷和故障排除工具。攻擊者可以通過構(gòu)造帶有惡意鏈接的 Office 文檔發(fā)送給用戶,誘導用戶打開該文檔時,則會觸發(fā)該漏洞,需要注意的是,如果在資源管理器中開啟了預覽選項,無需用戶打開惡意文檔,僅預覽 RTF 格式的惡意文檔就會觸發(fā)該漏洞。目前該漏洞 PoC 及技術(shù)細節(jié)已被披露,且已發(fā)現(xiàn)在野利用的情況。
2、 Windows Network File System 遠程代碼執(zhí)行漏洞( CVE- - 2022- -30136 )Windows Network File System 是 Windows 網(wǎng)絡文件系統(tǒng)。Windows Network File System 存在遠程代碼執(zhí)行漏洞,由于對Windows Network File System 中用戶提供的輸入的驗證存在缺陷,未經(jīng)身份驗證的遠程攻擊者可利用該漏洞向目標系統(tǒng)發(fā)送特制的NFS 請求,最終導致在目標系統(tǒng)上任意執(zhí)行代碼,且無需用戶交互。
3 、 Windows Installer 權(quán)限提升漏洞( CVE- - 2022- - 30147 )微軟 Windows Installer 作為 Win2K/WinXP/WinVista 的組件之一,是專門用來管理和配置軟件服務的工具。Windows Installer存在權(quán)限提升漏洞,由于 Windows Installer 中的應用程序未實行正確的安全限制,具有低權(quán)限的本地攻擊者通過利用該漏洞繞過安全限制,從而在目標系統(tǒng)上提升至 SYSTEM 權(quán)限,且無需用戶交互。
4 、 Windows Advanced Local Procedure Call 權(quán)限提升漏洞( CVE- -2022- - 30160 )Advanced Local Procedure Call(ALPC)是 Windows 的 IPC機制能讓使用者在執(zhí)行數(shù)個應用程式的時候,還可以互相交換資料,同一個 OS 的用戶端程序可以要求伺服器程序提供資訊或執(zhí)行某個作業(yè)。Windows Advanced Local Procedure Call 存在權(quán)限提升漏洞,由于 Windows Advanced Local Procedure Call 中的應用程序未實行正確的安全限制,具有低權(quán)限的本地攻擊者通過利用該漏洞繞過安全限制,從而在目標系統(tǒng)上提升至 SYSTEM 權(quán)限,且無需用戶交互。
5 、 Windows Kerberos 權(quán)限提升漏洞( CVE- - 2022- - 30165 )Windows Kerberos 為網(wǎng)絡用戶提供了一種安全的身份驗證手段,是最流行的身份驗證機制之一。Windows Kerberos 存在權(quán)限提升漏洞,當網(wǎng)絡通過 CredSSP 建立遠程憑據(jù)保護連接時,經(jīng)過身份驗證的遠程攻擊者可以利用此漏洞進行權(quán)限提升,之后欺騙 Kerberos 進行登錄。
6 、 Windows 輕量級目錄訪問協(xié)議 (LDAP) 遠程代碼執(zhí)行漏洞( CVE- -2022- - 30161 )LDAP 是實現(xiàn)提供被稱為目錄服務的信息服務。Windows 輕量級目錄訪問協(xié)議 (LDAP) 遠程代碼執(zhí)行漏洞,未經(jīng)身份驗證的遠程攻擊者可以通過誘導用戶將輕量級目錄訪問協(xié)議 (LDAP) 客戶端與惡意LDAP 服務器相連接,最終導致惡意服務器在 LDAP 客戶端中任意執(zhí)行代碼。
7 、 Windows Hyper- - V 遠程代碼執(zhí)行漏洞( CVE- - 2022- - 30163 )Windows Hyper-V 是 Microsoft 的本地虛擬機管理程序。具有低權(quán)限的遠程攻擊者可通過在 Hyper-V guest 上運行特制的應用程序,最終導致在 Hyper-V 主機系統(tǒng)執(zhí)行任意代碼。
8 、 Microsoft SharePoint Server 遠程代碼執(zhí)行漏洞( CVE- - 2022- -30157 )Microsoft SharePoint Server 是一項用于 SharePoint 網(wǎng)站的基礎技術(shù),它可以免費獲取。Microsoft SharePoint Server 存在遠程代碼執(zhí)行漏洞,經(jīng)過身份驗證的攻擊者通過使用特制的代碼創(chuàng)建站點,成功利用漏洞可導致在目標服務器上遠程執(zhí)行代碼。在此過程中,攻擊者還需要具有在易受攻擊的 SharePoint 服務器上創(chuàng)建頁面的權(quán)限。
漏洞危害
利用上述漏洞,攻擊者可進行欺騙,繞過安全功能限制,獲取敏感信息,提升權(quán)限,執(zhí)行遠程代碼,或發(fā)起拒絕服務攻擊等。
三、受影響范圍
.NET and Visual Studio
Azure OMI
Azure Real Time Operating System
Azure Service Fabric Container
Intel
Microsoft Edge (Chromium-based)
Microsoft Office
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft Windows ALPC
Microsoft Windows Codecs Library
Remote Volume Shadow Copy Service (RVSS)
Role: Windows Hyper-V
SQL Server
Windows Ancillary Function Driver for WinSock
Windows App Store
Windows Autopilot
Windows Container Isolation FS Filter Driver
Windows Container Manager Service
Windows Defender
Windows Encrypting File System (EFS)
Windows File History Service
Windows Installer
Windows iSCSI
Windows Kerberos
Windows Kernel
Windows LDAP - Lightweight Directory Access Protocol
Windows Local Security Authority Subsystem Service
Windows Media
Windows Network Address Translation (NAT)
Windows Network File System
Windows PowerShell
Windows SMB
四、修復建議
目前,微軟官方已經(jīng)發(fā)布補丁修復了上述漏洞,建議相關用戶及時確認漏洞影響,盡快采取修補措施,避免引發(fā)漏洞相關的網(wǎng)絡安全事 件 。