0x00 漏洞概述
2022年10月11日,微軟發佈了10月安全更新,本次更新修復了包括2個0 day漏洞在內的84個安全漏洞(不包括10月3日修復的12個Microsoft Edge漏洞),其中有13個漏洞評級為「嚴重」。此外,Microsoft Exchange ProxyNotShell漏洞尚未修復。
0x01 漏洞詳情
本次發佈的安全更新涉及Active Directory Domain Services、Azure、Microsoft Office、Microsoft Office SharePoint、Windows Hyper-V、Visual Studio Code、Windows Active Directory Certificate Services、Windows Defender、Windows DHCP Client、Windows Group Policy、Windows Kernel、Windows NTFS、Windows NTLM、Windows Point-to-Point Tunneling Protocol、Windows TCP/IP和Windows Win32K等多個產品和元件。
本次修復的84個漏洞中,39個為提取漏洞,20個為遠端程式碼執行漏洞,11個為資訊洩露漏洞,8個為拒絕服務漏洞,2個為安全功能繞過漏洞,以及4個欺騙漏洞。
微軟本次共修復了2個0 day漏洞,其中CVE-2022-41033已發現被積極利用,CVE-2022-41043已經公開披露。
CVE-2022-41033:Windows COM+ Event System Service特權提升漏洞
該漏洞的CVSSv3評分為7.8,成功利用該漏洞可以獲得SYSTEM許可權。目前該漏洞暫未公開披露,但已經檢測到漏洞利用。
CVE-2022-41043:Microsoft Office 資訊洩露漏洞
該漏洞影響了適用於 Mac 2021 的 Microsoft Office LTSC和適用於 Mac 的 Microsoft Office 2019,其CVSSv3評分為3.3,成功利用該漏洞可能會導致使用者令牌或其它敏感資訊被洩露。目前該漏洞暫未檢測到漏洞利用,但已經被公開披露。
微軟尚未在本次更新中修復Microsoft Exchange ProxyNotShell漏洞CVE-2022-41040(特權提升)和CVE-2022-41082(遠端程式碼執行),但已經發布了相關安全指南,使用者可應用指南中的緩解措施並等待官方補丁發佈。
本次更新中值得關注的漏洞包括但不限於:
CVE-2022-37968:啟用 Azure Arc 的 Kubernetes 集群連接特權提升漏洞
該漏洞的CVSSv3評分為10.0,影響了啟用Azure Arc 的 Kubernetes 集群的集群連接功能,可能允許未經身份驗證的使用者提升其許可權並可能獲得對 Kubernetes 集群的管理控制權。此外,由於 Azure Stack Edge 允許客戶通過 Azure Arc 在其設備上部署 Kubernetes 工作負載,因此 Azure Stack Edge 設備也容易受到該漏洞的影響。
CVE-2022-37976:Active Directory 證書服務特權提升漏洞
該漏洞的CVSSv3評分為8.8,只有當Active Directory 證書服務在域上運行時,系統才容易受到攻擊,成功利用此漏洞可以獲得域管理員許可權。該漏洞影響了多個Windows Server版本,受影響使用者可及時安裝更新。
CVE-2022-41038:Microsoft SharePoint Server 遠端程式碼執行漏洞
該漏洞的CVSSv3評分為8.8,通過目標網站的身份驗證並有權在 SharePoint 中使用管理列表的使用者可以在 SharePoint Server 上遠端執行程式碼。
CVE-2022-38048:Microsoft Office 遠端程式碼執行漏洞
該漏洞的CVSSv3評分為7.8,利用該漏洞需與使用者互動。該漏洞影響了多個版本的Microsoft Office 2013、Microsoft Office 2016、Microsoft Office 2019、Microsoft Office LTSC和Microsoft 365 企業應用。
微軟10月更新涉及的完整漏洞列表如下:
CVE ID | CVE 標題 | 嚴重性 |
CVE-2022-37968 | 啟用 Azure Arc 的 Kubernetes 集群連接特權提升漏洞 | 嚴重 |
CVE-2022-38048 | Microsoft Office 遠端程式碼執行漏洞 | 嚴重 |
CVE-2022-41038 | Microsoft SharePoint Server 遠端程式碼執行漏洞 | 嚴重 |
CVE-2022-37979 | Windows Hyper-V 特權提升漏洞 | 嚴重 |
CVE-2022-37976 | Active Directory 證書服務特權提升漏洞 | 嚴重 |
CVE-2022-34689 | Windows CryptoAPI 欺騙漏洞 | 嚴重 |
CVE-2022-33634 | Windows 點對點隧道協議遠端程式碼執行漏洞 | 嚴重 |
CVE-2022-22035 | Windows 點對點隧道協議遠端程式碼執行漏洞 | 嚴重 |
CVE-2022-24504 | Windows 點對點隧道協議遠端程式碼執行漏洞 | 嚴重 |
CVE-2022-38047 | Windows 點對點隧道協議遠端程式碼執行漏洞 | 嚴重 |
CVE-2022-41081 | Windows 點對點隧道協議遠端程式碼執行漏洞 | 嚴重 |
CVE-2022-30198 | Windows 點對點隧道協議遠端程式碼執行漏洞 | 嚴重 |
CVE-2022-38000 | Windows 點對點隧道協議遠端程式碼執行漏洞 | 嚴重 |
CVE-2022-38042 | Active Directory 域服務特權提升漏洞 | 高危 |
CVE-2022-38017 | StorSimple 8000 系列特權提升漏洞 | 高危 |
CVE-2022-37987 | Windows 客戶端伺服器運行時子系統 (CSRSS) 特權提升漏洞 | 高危 |
CVE-2022-37989 | Windows 客戶端伺服器運行時子系統 (CSRSS) 特權提升漏洞 | 高危 |
CVE-2022-37986 | Windows Win32k 特權提升漏洞 | 高危 |
CVE-2022-38051 | Windows 圖形元件特權提升漏洞 | 高危 |
CVE-2022-37997 | Windows 圖形元件特權提升漏洞 | 高危 |
CVE-2022-37985 | Windows 圖形元件資訊洩露漏洞 | 高危 |
CVE-2022-33635 | Windows GDI+ 遠端程式碼執行漏洞 | 高危 |
CVE-2022-38001 | Microsoft Office 欺騙漏洞 | 高危 |
CVE-2022-41043 | Microsoft Office 資訊洩露漏洞 | 高危 |
CVE-2022-38053 | Microsoft SharePoint Server 遠端程式碼執行漏洞 | 高危 |
CVE-2022-41036 | Microsoft SharePoint Server 遠端程式碼執行漏洞 | 高危 |
CVE-2022-41037 | Microsoft SharePoint Server 遠端程式碼執行漏洞 | 高危 |
CVE-2022-41031 | Microsoft Word 遠端程式碼執行漏洞 | 高危 |
CVE-2022-38049 | Microsoft Office Graphics 遠端程式碼執行漏洞 | 高危 |
CVE-2022-37982 | Microsoft WDAC OLE DB provider for SQL Server 遠端程式碼執行漏洞 | 高危 |
CVE-2022-38031 | Microsoft WDAC OLE DB provider for SQL Server 遠端程式碼執行漏洞 | 高危 |
CVE-2022-41032 | NuGet 客戶端特權提升漏洞 | 高危 |
CVE-2022-37965 | Windows 點對點隧道協議拒絕服務漏洞 | 高危 |
CVE-2022-35829 | Service Fabric Explorer 欺騙漏洞 | 高危 |
CVE-2022-41042 | Visual Studio Code 資訊洩露漏洞 | 高危 |
CVE-2022-41034 | Visual Studio Code 遠端程式碼執行漏洞 | 高危 |
CVE-2022-41083 | Visual Studio Code 特權提升漏洞 | 高危 |
CVE-2022-37978 | Windows Active Directory 證書服務安全功能繞過 | 高危 |
CVE-2022-38029 | Windows ALPC 特權提升漏洞 | 高危 |
CVE-2022-38044 | Windows CD-ROM 檔案系統驅動程序遠端程式碼執行漏洞 | 高危 |
CVE-2022-41033 | Windows COM+ 事件系統服務特權提升漏洞 | 高危 |
CVE-2022-38021 | Connected User Experiences and Telemetry特權提升漏洞 | 高危 |
CVE-2022-37971 | Microsoft Windows Defender 特權提升漏洞 | 高危 |
CVE-2022-38026 | Windows DHCP 客戶端資訊洩露漏洞 | 高危 |
CVE-2022-37980 | Windows DHCP 客戶端特權提升漏洞 | 高危 |
CVE-2022-38025 | Windows 分散式檔案系統 (DFS) 資訊洩露漏洞 | 高危 |
CVE-2022-37970 | Windows DWM 核心庫特權提升漏洞 | 高危 |
CVE-2022-37983 | Microsoft DWM 核心庫特權提升漏洞 | 高危 |
CVE-2022-37981 | Windows 事件日誌記錄服務拒絕服務漏洞 | 高危 |
CVE-2022-37975 | Windows 組策略特權提升漏洞 | 高危 |
CVE-2022-37994 | Windows 組策略首選項客戶端特權提升漏洞 | 高危 |
CVE-2022-37993 | Windows 組策略首選項客戶端特權提升漏洞 | 高危 |
CVE-2022-37999 | Windows 組策略首選項客戶端特權提升漏洞 | 高危 |
CVE-2022-38036 | Internet 金鑰交換 (IKE) 協議拒絕服務漏洞 | 高危 |
CVE-2022-37988 | Windows 核心特權提升漏洞 | 高危 |
CVE-2022-38037 | Windows 核心特權提升漏洞 | 高危 |
CVE-2022-37990 | Windows 核心特權提升漏洞 | 高危 |
CVE-2022-38038 | Windows 核心特權提升漏洞 | 高危 |
CVE-2022-38039 | Windows 核心特權提升漏洞 | 高危 |
CVE-2022-37995 | Windows 核心特權提升漏洞 | 高危 |
CVE-2022-37991 | Windows 核心特權提升漏洞 | 高危 |
CVE-2022-38022 | Windows 核心特權提升漏洞 | 高危 |
CVE-2022-38016 | Windows 本地安全機構 (LSA) 特權提升漏洞 | 高危 |
CVE-2022-37977 | 本地安全機構子系統服務 (LSASS) 拒絕服務漏洞 | 高危 |
CVE-2022-37973 | Windows 本地會話管理器 (LSM) 拒絕服務漏洞 | 高危 |
CVE-2022-37998 | Windows 本地會話管理器 (LSM) 拒絕服務漏洞 | 高危 |
CVE-2022-37996 | Windows 核心記憶體資訊洩露漏洞 | 高危 |
CVE-2022-35770 | Windows NTLM 欺騙漏洞 | 高危 |
CVE-2022-38040 | Microsoft ODBC 驅動程序遠端程式碼執行漏洞 | 高危 |
CVE-2022-37974 | Windows Mixed Reality 開發者工具資訊洩露漏洞 | 高危 |
CVE-2022-38032 | Windows 行動式設備列舉器服務安全功能繞過漏洞 | 高危 |
CVE-2022-38028 | Windows 後臺列印程序特權提升漏洞 | 高危 |
CVE-2022-38003 | Windows 彈性檔案系統特權提升 | 高危 |
CVE-2022-38041 | Windows 安全通道拒絕服務漏洞 | 高危 |
CVE-2022-38043 | Windows 安全支持提供程序接口資訊洩露漏洞 | 高危 |
CVE-2022-38033 | Windows Server 可遠端訪問的註冊表項資訊洩露漏洞 | 高危 |
CVE-2022-38045 | Server Service Remote Protocol特權提升漏洞 | 高危 |
CVE-2022-38027 | Windows 儲存特權提升漏洞 | 高危 |
CVE-2022-33645 | Windows TCP/IP 驅動程序拒絕服務漏洞 | 高危 |
CVE-2022-38030 | Windows USB 序列驅動程序資訊洩露漏洞 | 高危 |
CVE-2022-38046 | Web Account Manager資訊洩露漏洞 | 高危 |
CVE-2022-38050 | Win32k 特權提升漏洞 | 高危 |
CVE-2022-37984 | Windows WLAN Service 特權提升漏洞 | 高危 |
CVE-2022-38034 | Windows Workstation Service特權提升漏洞 | 高危 |
CVE-2022-41035 | Microsoft Edge(基於 Chromium)欺騙漏洞 | 中危 |
CVE-2022-3311 | Chromium:CVE-2022-3311 在匯入後免費使用 | 未知 |
CVE-2022-3313 | Chromium:CVE-2022-3313 全屏顯示不正確的安全 UI | 未知 |
CVE-2022-3315 | Chromium:CVE-2022-3315 Blink 中的類型混淆 | 未知 |
CVE-2022-3370 | Chromium:CVE-2022-3370 在自定義元素中免費使用 | 未知 |
CVE-2022-3373 | Chromium:CVE-2022-3373 在V8中越界寫入 | 未知 |
CVE-2022-3316 | Chromium:CVE-2022-3316 對安全瀏覽中不受信任的輸入的驗證不足 | 未知 |
CVE-2022-3317 | Chromium:CVE-2022-3317 Intents 中不受信任的輸入驗證不足 | 未知 |
CVE-2022-3310 | Chromium:CVE-2022-3310 自定義選項卡中的策略執行不足 | 未知 |
CVE-2022-3304 | Chromium:CVE-2022-3304 在 CSS 中免費後使用 | 未知 |
CVE-2022-3308 | Chromium:CVE-2022-3308 開發人員工具中的策略執行不足 | 未知 |
CVE-2022-3307 | Chromium:CVE-2022-3307 在媒體中免費後使用 | 未知 |
0x02 處置建議
目前微軟已發佈相關安全更新,建議受影響的使用者儘快修復。
(一) Windows update更新
自動更新:
Microsoft Update默認啟用,當系統檢測到可用更新時,將會自動下載更新並在下一次啟動時安裝。
手動更新:
1、點選「開始菜單」或按Windows快捷鍵,點選進入「設置」
2、選擇「更新和安全」,進入「Windows更新」(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入「Windows更新」,具體步驟為「控制面板」->「系統和安全」->「Windows更新」)
3、選擇「檢查更新」,等待系統將自動檢查並下載可用更新。
4、更新完成後重啟計算機,可通過進入「Windows更新」->「查看更新歷史記錄」查看是否成功安裝了更新。對於沒有成功安裝的更新,可以點選該更新名稱進入微軟官方更新描述連結,點選最新的SSU名稱並在新連結中點選「Microsoft 更新目錄」,然後在新連結中選擇適用於目標系統的補丁進行下載並安裝。
(二) 手動安裝更新
Microsoft官方下載相應補丁進行更新。
10月安全更新下載連結:
https://msrc.microsoft.com/update-guide/releaseNote/2022-Oct
補丁下載示例:
1.打開上述下載連結,點選漏洞列表中要修復的CVE連結。
例1:微軟漏洞列表示例(2月)
2.在微軟公告頁面底部左側【產品】選擇相應的系統類型,點選右側【下載】處打開補丁下載連結。
例2:CVE-2022-21989補丁下載示例
3.點選【安全更新】,打開補丁下載頁面,下載相應補丁並進行安裝。
例3:補丁下載界面
4.安裝完成後重啟計算機。
0x03 參考連結
https://msrc.microsoft.com/update-guide/releaseNote/2022-Oct
https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2022-patch-tuesday-fixes-zero-day-used-in-attacks-84-flaws/
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2022-10-12 | 首次發佈 |
