【漏洞通告】微软9月多个安全漏洞
发布时间 2022-09-140x00 漏洞概述
2022年9月13日,微软发布了9月安全更新,本次更新修复了包括2个0 day漏洞在内的63个安全漏洞(不包括之前修复的16个Microsoft Edge漏洞),其中有5个漏洞评级为“严重”。
0x01 漏洞详情
本次发布的安全更新涉及.NET Framework、HTTP.sys、Microsoft Office、Microsoft Dynamics、Windows Defender、Windows Group Policy、Windows IKE Extension、Windows Kerberos、Windows Kernel、Windows LDAP、Windows Print Spooler Components、Windows Remote Access Connection Manager、Windows Remote Procedure Call和Windows TCP/IP等多个产品和组件。
本次修复的63个漏洞中,18个为提取漏洞,30个为远程代码执行漏洞,7个为信息泄露漏洞,7个为拒绝服务漏洞,1个为安全功能绕过漏洞。
微软本次共修复了2个0 day漏洞,其中CVE-2022-37969已发现被积极利用:
CVE-2022-37969 :Windows 通用日志文件系统驱动程序特权提升漏洞
Windows Common Log File System Driver存在本地提权漏洞,此漏洞的CVSS评分为7.8,可在有权访问目标系统并能够在目标系统上运行代码的情况下利用此漏洞获得系统权限。此漏洞已经公开披露,且已发现漏洞利用。
CVE-2022-23960:缓存推测限制漏洞(Arm)
某些 Arm Cortex 和 Neoverse 处理器不会正确限制缓存推测,即 Spectre-BHB,成功利用此漏洞可能导致敏感信息泄露。此漏洞影响了基于ARM64系统的Windows 11,目前已经公开披露。
本次更新中值得关注的漏洞包括但不限于:
CVE-2022-34718 :Windows TCP/IP 远程代码执行漏洞
可在未经身份验证的情况下将特制的IPv6数据包发送到启用了 IPSec 的 Windows 节点,这可能会在该计算机上导致远程代码执行。只有运行 IPSec 服务的系统才容易受到攻击,如果在目标机器上禁用了 IPv6,则系统不会受到影响。此漏洞的CVSSv3评分为9.8,攻击复杂度低,无需特殊权限和用户交互即可远程利用此漏洞,微软的可利用性评估为“可能被利用”。
CVE-2022-34721、CVE-2022-34722 :Windows Internet Key Exchange (IKE) Protocol Extensions远程代码执行漏洞
这2个漏洞的CVSSv3评分均为9.8,可在未经身份验证的情况下将特制的IP 数据包发送到运行 Windows 并启用了 IPSec 的目标计算机,可能导致远程代码执行。此漏洞仅影响 IKEv1,IKEv2 不受影响,但此漏洞影响了所有Windows Server,因为它们同时接受 V1 和 V2 数据包。
CVE-2022-35805、CVE-2022-34700:Microsoft Dynamics CRM (on-premises)远程代码执行漏洞
经过身份验证的用户可以运行特制的受信任解决方案包来执行任意 SQL 命令,可以实现升级并在其 Dynamics 365 数据库中以 db_owner 身份执行命令,这2个漏洞的CVSSv3评分均为8.8。
CVE-2022-38009:Microsoft SharePoint Server 远程代码执行漏洞
此漏洞的CVSSv3评分为8.8,攻击复杂度和所需权限低,无需用户交互即可远程利用,但利用此漏洞必须通过目标网站的身份验证,并有权在 SharePoint 中使用管理列表,成功利用此漏洞可以在SharePoint Server 上远程执行代码。
CVE-2022-26929:.NET Framework 远程代码执行漏洞
该漏洞的CVSS评分为7.8,利用此漏洞需与用户交互。
微软9月更新涉及的完整漏洞列表如下:
CVE ID | CVE 标题 | 严重性 |
CVE-2022-35805 | Microsoft Dynamics CRM(本地)远程代码执行漏洞 | 严重 |
CVE-2022-34700 | Microsoft Dynamics CRM(本地)远程代码执行漏洞 | 严重 |
CVE-2022-34722 | Windows Internet 密钥交换 (IKE) 协议扩展远程代码执行漏洞 | 严重 |
CVE-2022-34721 | Windows Internet 密钥交换 (IKE) 协议扩展远程代码执行漏洞 | 严重 |
CVE-2022-34718 | Windows TCP/IP 远程代码执行漏洞 | 严重 |
CVE-2022-38013 | .NET Core 和 Visual Studio 拒绝服务漏洞 | 高危 |
CVE-2022-26929 | .NET Framework 远程代码执行漏洞 | 高危 |
CVE-2022-38007 | Azure 来宾配置和启用 Azure Arc 的服务器特权提升漏洞 | 高危 |
CVE-2022-23960 | Arm:CVE-2022-23960 缓存推测限制漏洞 | 高危 |
CVE-2022-35838 | HTTP V3 拒绝服务漏洞 | 高危 |
CVE-2022-37954 | DirectX 图形内核提权漏洞 | 高危 |
CVE-2022-38006 | Windows 图形组件信息泄露漏洞 | 高危 |
CVE-2022-34729 | Windows GDI 特权提升漏洞 | 高危 |
CVE-2022-34728 | Windows 图形组件信息泄露漏洞 | 高危 |
CVE-2022-35837 | Windows 图形组件信息泄露漏洞 | 高危 |
CVE-2022-37962 | Microsoft PowerPoint 远程代码执行漏洞 | 高危 |
CVE-2022-35823 | Microsoft SharePoint 远程代码执行漏洞 | 高危 |
CVE-2022-38009 | Microsoft SharePoint Server 远程代码执行漏洞 | 高危 |
CVE-2022-38008 | Microsoft SharePoint Server 远程代码执行漏洞 | 高危 |
CVE-2022-37961 | Microsoft SharePoint Server 远程代码执行漏洞 | 高危 |
CVE-2022-37963 | Microsoft Office Visio 远程代码执行漏洞 | 高危 |
CVE-2022-38010 | Microsoft Office Visio 远程代码执行漏洞 | 高危 |
CVE-2022-34725 | Windows ALPC 特权提升漏洞 | 高危 |
CVE-2022-38011 | Raw Image Extension 远程代码执行漏洞 | 高危 |
CVE-2022-38019 | AV1 Video Extension远程代码执行漏洞 | 高危 |
CVE-2022-37959 | 网络设备注册服务 (NDES) 安全功能绕过漏洞 | 高危 |
CVE-2022-34724 | Windows DNS 服务器拒绝服务漏洞 | 高危 |
CVE-2022-38004 | Windows 传真服务远程代码执行漏洞 | 高危 |
CVE-2022-37958 | SPNEGO 扩展协商 (NEGOEX) 安全机制信息泄露漏洞 | 高危 |
CVE-2022-38020 | Visual Studio Code 特权提升漏洞 | 高危 |
CVE-2022-35803 | Windows 通用日志文件系统驱动程序特权提升漏洞 | 高危 |
CVE-2022-37969 | Windows 通用日志文件系统驱动程序特权提升漏洞 | 高危 |
CVE-2022-30170 | Windows 凭据漫游服务特权提升漏洞 | 高危 |
CVE-2022-35828 | Microsoft Defender for Endpoint for Mac 特权提升漏洞 | 高危 |
CVE-2022-34719 | Windows 分布式文件系统 (DFS) 特权提升漏洞 | 高危 |
CVE-2022-34723 | Windows DPAPI(数据保护应用程序编程接口)信息泄露漏洞 | 高危 |
CVE-2022-35841 | Windows企业应用管理服务远程代码执行漏洞 | 高危 |
CVE-2022-35832 | Windows 事件跟踪拒绝服务漏洞 | 高危 |
CVE-2022-37955 | Windows 组策略特权提升漏洞 | 高危 |
CVE-2022-34720 | Windows Internet 密钥交换 (IKE) 扩展拒绝服务漏洞 | 高危 |
CVE-2022-33647 | Windows Kerberos 特权提升漏洞 | 高危 |
CVE-2022-33679 | Windows Kerberos 特权提升漏洞 | 高危 |
CVE-2022-37964 | Windows 内核特权提升漏洞 | 高危 |
CVE-2022-37956 | Windows 内核特权提升漏洞 | 高危 |
CVE-2022-37957 | Windows 内核特权提升漏洞 | 高危 |
CVE-2022-30200 | Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞 | 高危 |
CVE-2022-34726 | Microsoft ODBC 驱动程序远程代码执行漏洞 | 高危 |
CVE-2022-34730 | Microsoft ODBC 驱动程序远程代码执行漏洞 | 高危 |
CVE-2022-34727 | Microsoft ODBC 驱动程序远程代码执行漏洞 | 高危 |
CVE-2022-34732 | Microsoft ODBC 驱动程序远程代码执行漏洞 | 高危 |
CVE-2022-34734 | Microsoft ODBC 驱动程序远程代码执行漏洞 | 高危 |
CVE-2022-35834 | Microsoft OLE DB Provider for SQL Server远程代码执行漏洞 | 高危 |
CVE-2022-35835 | Microsoft OLE DB Provider for SQL Server远程代码执行漏洞 | 高危 |
CVE-2022-35836 | Microsoft OLE DB Provider for SQL Server远程代码执行漏洞 | 高危 |
CVE-2022-35840 | Microsoft OLE DB Provider for SQL Server远程代码执行漏洞 | 高危 |
CVE-2022-34733 | Microsoft OLE DB Provider for SQL Server远程代码执行漏洞 | 高危 |
CVE-2022-34731 | Microsoft OLE DB Provider for SQL Server远程代码执行漏洞 | 高危 |
CVE-2022-26928 | Windows 照片导入 API 特权提升漏洞 | 高危 |
CVE-2022-38005 | Windows Print Spooler特权提升漏洞 | 高危 |
CVE-2022-35831 | Windows 远程访问连接管理器信息泄露漏洞 | 高危 |
CVE-2022-35830 | Remote Procedure Call Runtime 远程代码执行漏洞 | 高危 |
CVE-2022-35833 | Windows 安全通道拒绝服务漏洞 | 高危 |
CVE-2022-30196 | Windows 安全通道拒绝服务漏洞 | 高危 |
CVE-2022-3053 | Chromium:CVE-2022-3053 指针锁中的不当实现 | 未知 |
CVE-2022-3047 | Chromium:CVE-2022-3047 扩展 API 中的策略执行不足 | 未知 |
CVE-2022-3054 | Chromium:CVE-2022-3054 DevTools 中的策略执行不足 | 未知 |
CVE-2022-3041 | Chromium:CVE-2022-3041 在 WebSQL 中释放后使用 | 未知 |
CVE-2022-3040 | Chromium:CVE-2022-3040 在布局中释放后使用 | 未知 |
CVE-2022-3046 | Chromium:CVE-2022-3046 在浏览器标签中释放后使用 | 未知 |
CVE-2022-3039 | Chromium:CVE-2022-3039 在 WebSQL 中释放后使用 | 未知 |
CVE-2022-3045 | Chromium:CVE-2022-3045 V8 中不受信任的输入验证不足 | 未知 |
CVE-2022-3044 | Chromium:CVE-2022-3044 站点隔离中的不当实施 | 未知 |
CVE-2022-3057 | Chromium:CVE-2022-3057 iframe 沙盒中的不当实施 | 未知 |
CVE-2022-3075 | Chromium:CVE-2022-3075 Mojo 中的数据验证不足 | 未知 |
CVE-2022-3058 | Chromium:CVE-2022-3058 在登录流程中免费使用 | 未知 |
CVE-2022-3038 | Chromium:CVE-2022-3038 在网络服务中免费使用 | 未知 |
CVE-2022-3056 | Chromium:CVE-2022-3056 内容安全策略中的策略执行不足 | 未知 |
CVE-2022-3055 | Chromium:CVE-2022-3055 在密码中免费使用 | 未知 |
CVE-2022-38012 | Microsoft Edge(基于 Chromium)远程代码执行漏洞 | 低危 |
0x02 处置建议
目前微软已发布相关安全更新,建议受影响的用户尽快修复。
(一) Windows update更新
自动更新:
Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
手动更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新。
4、更新完成后重启计算机,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
(二) 手动安装更新
Microsoft官方下载相应补丁进行更新。
9月安全更新下载链接:
https://msrc.microsoft.com/update-guide/releaseNote/2022-Sep
补丁下载示例:
1.打开上述下载链接,点击漏洞列表中要修复的CVE链接。
例1:微软漏洞列表示例(2月)
2.在微软公告页面底部左侧【产品】选择相应的系统类型,点击右侧【下载】处打开补丁下载链接。
例2:CVE-2022-21989补丁下载示例
3.点击【安全更新】,打开补丁下载页面,下载相应补丁并进行安装。
例3:补丁下载界面
4.安装完成后重启计算机。
0x03 参考链接
https://msrc.microsoft.com/update-guide/releaseNote/2022-Sep
https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2022-patch-tuesday-fixes-zero-day-used-in-attacks-63-flaws/
0x04 更新版本
版本 | 日期 | 修改内容 |
V1.0 | 2022-09-14 | 首次发布 |
0x05 附录
公司简介
启明星辰成立于1996年,是由留美博士严望佳女士创建的、拥有完全自主知识产权的信息安全高科技企业。是国内最具实力的信息安全产品、安全服务解决方案的领航企业之一。
公司总部位于北京市中关村软件园启明星辰大厦,公司员工近4000人,研发团队1200余人, 技术服务团队1300余人。在全国各省、市、自治区设立分支机构六十多个,拥有覆盖全国的销售体系、渠道体系和技术支持体系。公司于2010年6月23日在深圳中小板挂牌上市。(股票代码:002439)
多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。
关于我们
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
关注以下公众号,获取全球最新安全资讯: