前言:近期,微软发布了4月份的安全更新,修复了包括2个0day漏洞在内的119个安全漏洞(不包括26个MicrosoftEdge漏洞),其中有10个漏洞被评级为严重,涉及.NET Framework、ActiveDirectoryDomainServices等多个产品和组件。(漏洞详情在文末)
启明星辰北冥数据实验室第一时间对微软4月发布的安全公告进行分析研判,结合泰合盘古平台(THPangu-OS)的底座能力,为广大用户给出应急处置指引方案。
因远程代码执行漏洞CVE-2022-26809威胁程度高、影响范围较广,利用的复杂度低,易被攻击者广泛利用进而对广大用户造成严重危害,所以我们以此漏洞涉及的服务为例,做出了进一步的细致分析过程,并详细说明漏洞修复与补丁下载。
漏洞分析
相关漏洞位于WindowsRPC服务,该服务由名为rpcrt4.dll的库。该运行时库被加载到使用RPC协议进行通信的客户端和服务器进程中。
通过比较了10.0.22000.434(未打补丁,从2022年3月开始)和10.0.22000.613(已打补丁,从2022年4月开始)版本,能发现以下各种功能或函数的变化清单。
函数变化清单
函数OSF_CCALL::ProcessResponse和OSF_SCALL::ProcessReceivedPDU。这两个函数本质上是相似的;两者都处理RPC数据包,但一个在客户端运行,另一个在服务器端运行(CCALL和SCALL分别代表客户端调用和服务器调用)。我们继续比较OSF_SCALL::ProcessReceivedPDU,并注意到新版本中添加了两个代码块。
对比新增代码块
查看修复代码,我们看到在QUEUE::PutOnQueue之后调用了一个新函数。进入新函数并检查其代码,我们发现它用于检查整数溢出。即添加了新函数以验证整数变量是否保持在预期值范围内。
修复代码
深入解析
OSF_SCALL:GetCoalescedBuffer中的易受攻击代码,我们注意到整数溢出错误可能导致堆缓冲区溢出,因为其中数据被复制到太小而无法填充。反过来,这允许将数据写入堆上的缓冲区边界之外。如果利用得当,这个原语可能会导致远程代码执行。
在其他函数中也添加了类似的检查整数溢出的调用:
OSF_CCALL::ProcessResponse
OSF_SCALL::GetCoalescedBuffer
OSF_CCALL::GetCoalescedBuffer
参考链接:
https://www.akamai.com/blog/security/critical-remote-code-execution-vulnerabilities-windows-rpc-runtime
漏洞检测
启明星辰天镜脆弱性扫描与管理系统已紧急发布针对该漏洞的升级包,支持对该漏洞进行授权扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:
6070版本升级包为607000428,升级包下载地址:
https://venustech.download.venuscloud.cn/
升级后已支持该漏洞
请使用天镜脆弱性扫描与管理系统产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。
基线核查
启明星辰安全配置核查管理系统已紧急发布针对该漏洞的核查资源包,支持对该漏洞进行核查,用户升级安全配置核查管理系统资源包后即可对该漏洞进行核查:
基线核查
修复建议
目前微软已发布相关安全更新,建议受影响的用户尽快修复。
自动更新
MicrosoftUpdate默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
手动更新
点击“开始菜单”或按Windows快捷键,点击进入“设置”。
选择“更新和安全”,进入“Windows更新”(Windows8、Windows8.1、WindowsServer2012以及WindowsServer2012R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)。
选择“检查更新”,等待系统将自动检查并下载可用更新。
重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
Microsoft官方下载相应补丁进行更新。
下载链接:
https://msrc.microsoft.com/update-guide/releaseNote/2022-Apr
补丁下载示例
1.打开上述下载链接,点击漏洞列表中要修复的CVE链接。
微软漏洞列表示例
2.在微软公告页面底部左侧【产品】选择相应的系统类型,点击右侧【下载】处打开补丁下载链接。
补丁下载链接
3.点击【SecurityUpdate】,打开补丁下载页面,下载相应补丁,下载完成后双击安装。
补丁下载
小贴士:
漏洞详情
本次修复的119个漏洞中,47个为权限提升漏洞,47个为远程代码执行漏洞,13个为信息泄露漏洞,9个为拒绝服务漏洞,以及3个欺骗漏洞。1)微软本次共修复了2个0day漏洞,其中CVE-2022-24521正在被积极利用,CVE-2022-26904已经公开披露。•CVE-2022-26904:Windows用户配置文件服务权限提升漏洞该漏洞是WindowsUserProfileService中的本地权限提升漏洞,CVSS评分为7.0,所需权限低且无需用户交互,但攻击复杂度高(需要赢得竞争条件),目前此漏洞已经公开披露,微软的可利用性将其评估为可能被利用。•CVE-2022-24521:Windows通用日志文件系统驱动程序权限提升漏洞该漏洞的攻击复杂度和所需权限低,无需用户交互即可被本地利用。微软表示已检测到针对此漏洞的漏洞利用。2)本次修复的10个严重漏洞包括:•CVE-2022-26919:WindowsLDAP远程代码执行漏洞在域中通过身份验证的标准用户能够利用此漏洞在LDAP服务器上远程执行任意代码。但要利用此漏洞,需要修改默认的MaxReceiveBufferLDAP设置。•CVE-2022-23259:MicrosoftDynamics365(on-premises)远程代码执行漏洞经过身份验证的用户可以运行特制的受信任解决方案包来执行任意SQL命令。攻击者可以从那里升级并在其Dynamics356数据库中以db_owner身份执行命令。•CVE-2022-22008/CVE-2022-24537/CVE-2022-2325:WindowsHyper-V远程执行代码漏洞可以在Hyper-Vguest上运行特制的应用程序,这可能导致在Hyper-V主机系统执行任意代码。•CVE-2022-24491/CVE-2022-24497:WindowsNetworkFileSystem远程代码执行漏洞攻击者可以将特制的NFS协议网络消息发送到易受攻击的Windows机器,从而实现远程代码执行。注意:此漏洞仅影响启用NFS角色的系统。•CVE-2022-26809:RemoteProcedureCallRuntime远程代码执行漏洞此漏洞的CVSSv3评分为9.8。可以通过向RPC主机发送一个特制的RPC调用,这可能导致在服务器端以与RPC服务相同的权限远程执行代码。可以通过在企业外围防火墙中阻止TCP端口445和遵循Microsoft指南以保护SMB流量来缓解此漏洞。受影响的产品及版本:Windows 7 for 32、Windows Server 2016 (Server Core installation)、Windows 11 for ARM64、Windows Server, version20H2 (Server Core Installation)、Windows 10 Version 20H2for ARM64、Windows 10 Version 1909 for ARM64、Windows 10 Version 1809 for x64、Windows 10for 32、Windows 10 Version 21H2 for x64、Windows 10 Version 21H2 for ARM64、Windows 10Version 21H2 for 32、Windows 10 Version 1809 for 32、Windows Server 2022 (Server Core installation)、Windows Server 2022、Windows 10 Version 21H1for 32、Windows 10 Version 21H1 for ARM64、Windows 10 Version 21H1 for x64、WindowsServer 2012 R2 (Server Core installation)、WindowsServer 2012 R2、Windows Server 2012 (Server Coreinstallation)、Windows Server 2012、Windows Server 2008 R2 for x64、WindowsServer 2008 R2 for x64、Windows 10 Version 20H2 for 32、Windows 10 Version 20H2 for x64、WindowsServer 2008 for x64、Windows Server 2016、Windows 10 Version 1607 for x64、Windows 10Version 1607 for 32、Windows 10 for x64、Windows 10 Version 1909 for x64、Windows 10Version 1909 for 32、Windows 10 Version 1809 for ARM64、Windows Server 2008 for x64、Windows Server2008 for 32、Windows 8.1 for 32、Windows7 for x64、Windows Server 2008 for 32、Windows RT 8.1、Windows 8.1 for x64、Windows 11 for x64、Windows Server 2019 (Server Core installation)、Windows Server 2019等。•CVE-2022-24541:WindowsServer服务远程代码执行漏洞此漏洞要求使用受影响的Windows版本的用户访问恶意服务器。可以通过在企业外围防火墙中阻止TCP端口445和遵循Microsoft指南以保护SMB流量来缓解此漏洞。•CVE-2022-24500:WindowsSMB远程代码执行漏洞此漏洞要求使用受影响的Windows版本的用户访问恶意服务器。可以通过在企业外围防火墙中阻止TCP端口445和遵循Microsoft指南以保护SMB流量来缓解此漏洞。
北冥数据实验室
北冥数据实验室成立于2022年3月,致力于网络空间安全知识工程研究和体系化建设的专业团队,由启明星辰集团天镜漏洞研究团队、泰合知识工程团队、大数据实验室(BDlab)场景化分析团队联合组成。
北冥数据实验室始终秉持以需求为导向、知识赋能产品的核心理念,专注于提供网络空间安全的基础知识研究和开发,制定结合威胁和漏洞情报、网络空间资产和云安全监测数据等综合情报以及用户实际场景的安全分析防护策略,构建自动化调查和处置响应措施,形成场景化、结构化的知识工程体系,对各类安全产品、平台和安全运营提供知识赋能。
京公网安备11010802024551号