0x00 漏洞概述
2022年9月13日,微軟發佈了9月安全更新,本次更新修復了包括2個0 day漏洞在內的63個安全漏洞(不包括之前修復的16個Microsoft Edge漏洞),其中有5個漏洞評級為「嚴重」。
0x01 漏洞詳情
本次發佈的安全更新涉及.NET Framework、HTTP.sys、Microsoft Office、Microsoft Dynamics、Windows Defender、Windows Group Policy、Windows IKE Extension、Windows Kerberos、Windows Kernel、Windows LDAP、Windows Print Spooler Components、Windows Remote Access Connection Manager、Windows Remote Procedure Call和Windows TCP/IP等多個產品和元件。
本次修復的63個漏洞中,18個為提取漏洞,30個為遠端程式碼執行漏洞,7個為資訊洩露漏洞,7個為拒絕服務漏洞,1個為安全功能繞過漏洞。
微軟本次共修復了2個0 day漏洞,其中CVE-2022-37969已發現被積極利用:
CVE-2022-37969:Windows 通用日誌檔案系統驅動程序特權提升漏洞
Windows Common Log File System Driver存在本地提權漏洞,此漏洞的CVSS評分為7.8,可在有權訪問目標系統並能夠在目標系統上運行程式碼的情況下利用此漏洞獲得系統許可權。此漏洞已經公開披露,且已發現漏洞利用。
CVE-2022-23960:快取推測限制漏洞(Arm)
某些 Arm Cortex 和 Neoverse 處理器不會正確限制快取推測,即 Spectre-BHB,成功利用此漏洞可能導致敏感資訊洩露。此漏洞影響了基於ARM64系統的Windows 11,目前已經公開披露。
本次更新中值得關注的漏洞包括但不限於:
CVE-2022-34718:Windows TCP/IP 遠端程式碼執行漏洞
可在未經身份驗證的情況下將特製的IPv6資料包發送到啟用了 IPSec 的 Windows 節點,這可能會在該計算機上導致遠端程式碼執行。只有運行 IPSec 服務的系統才容易受到攻擊,如果在目標機器上禁用了 IPv6,則系統不會受到影響。此漏洞的CVSSv3評分為9.8,攻擊複雜度低,無需特殊許可權和使用者互動即可遠端利用此漏洞,微軟的可利用性評估為「可能被利用」。
CVE-2022-34721、CVE-2022-34722 :Windows Internet Key Exchange (IKE) Protocol Extensions遠端程式碼執行漏洞
這2個漏洞的CVSSv3評分均為9.8,可在未經身份驗證的情況下將特製的IP 資料包發送到運行 Windows 並啟用了 IPSec 的目標計算機,可能導致遠端程式碼執行。此漏洞僅影響 IKEv1,IKEv2 不受影響,但此漏洞影響了所有Windows Server,因為它們同時接受 V1 和 V2 資料包。
CVE-2022-35805、CVE-2022-34700:Microsoft Dynamics CRM (on-premises)遠端程式碼執行漏洞
經過身份驗證的使用者可以運行特製的受信任解決方案包來執行任意 SQL 命令,可以實現升級並在其 Dynamics 365 資料庫中以 db_owner 身份執行命令,這2個漏洞的CVSSv3評分均為8.8。
CVE-2022-38009:Microsoft SharePoint Server 遠端程式碼執行漏洞
此漏洞的CVSSv3評分為8.8,攻擊複雜度和所需許可權低,無需使用者互動即可遠端利用,但利用此漏洞必須通過目標網站的身份驗證,並有權在 SharePoint 中使用管理列表,成功利用此漏洞可以在SharePoint Server 上遠端執行程式碼。
CVE-2022-26929:.NET Framework 遠端程式碼執行漏洞
該漏洞的CVSS評分為7.8,利用此漏洞需與使用者互動。
微軟9月更新涉及的完整漏洞列表如下:
| CVE ID | CVE 標題 | 嚴重性 |
| CVE-2022-35805 | Microsoft Dynamics CRM(本地)遠端程式碼執行漏洞 | 嚴重 |
| CVE-2022-34700 | Microsoft Dynamics CRM(本地)遠端程式碼執行漏洞 | 嚴重 |
| CVE-2022-34722 | Windows Internet 金鑰交換 (IKE) 協議擴展遠端程式碼執行漏洞 | 嚴重 |
| CVE-2022-34721 | Windows Internet 金鑰交換 (IKE) 協議擴展遠端程式碼執行漏洞 | 嚴重 |
| CVE-2022-34718 | Windows TCP/IP 遠端程式碼執行漏洞 | 嚴重 |
| CVE-2022-38013 | .NET Core 和 Visual Studio 拒絕服務漏洞 | 高危 |
| CVE-2022-26929 | .NET Framework 遠端程式碼執行漏洞 | 高危 |
| CVE-2022-38007 | Azure 來賓配置和啟用 Azure Arc 的伺服器特權提升漏洞 | 高危 |
| CVE-2022-23960 | Arm:CVE-2022-23960 快取推測限制漏洞 | 高危 |
| CVE-2022-35838 | HTTP V3 拒絕服務漏洞 | 高危 |
| CVE-2022-37954 | DirectX 圖形核心提權漏洞 | 高危 |
| CVE-2022-38006 | Windows 圖形元件資訊洩露漏洞 | 高危 |
| CVE-2022-34729 | Windows GDI 特權提升漏洞 | 高危 |
| CVE-2022-34728 | Windows 圖形元件資訊洩露漏洞 | 高危 |
| CVE-2022-35837 | Windows 圖形元件資訊洩露漏洞 | 高危 |
| CVE-2022-37962 | Microsoft PowerPoint 遠端程式碼執行漏洞 | 高危 |
| CVE-2022-35823 | Microsoft SharePoint 遠端程式碼執行漏洞 | 高危 |
| CVE-2022-38009 | Microsoft SharePoint Server 遠端程式碼執行漏洞 | 高危 |
| CVE-2022-38008 | Microsoft SharePoint Server 遠端程式碼執行漏洞 | 高危 |
| CVE-2022-37961 | Microsoft SharePoint Server 遠端程式碼執行漏洞 | 高危 |
| CVE-2022-37963 | Microsoft Office Visio 遠端程式碼執行漏洞 | 高危 |
| CVE-2022-38010 | Microsoft Office Visio 遠端程式碼執行漏洞 | 高危 |
| CVE-2022-34725 | Windows ALPC 特權提升漏洞 | 高危 |
| CVE-2022-38011 | Raw Image Extension 遠端程式碼執行漏洞 | 高危 |
| CVE-2022-38019 | AV1 Video Extension遠端程式碼執行漏洞 | 高危 |
| CVE-2022-37959 | 網路設備註冊服務 (NDES) 安全功能繞過漏洞 | 高危 |
| CVE-2022-34724 | Windows DNS 伺服器拒絕服務漏洞 | 高危 |
| CVE-2022-38004 | Windows 傳真服務遠端程式碼執行漏洞 | 高危 |
| CVE-2022-37958 | SPNEGO 擴展協商 (NEGOEX) 安全機制資訊洩露漏洞 | 高危 |
| CVE-2022-38020 | Visual Studio Code 特權提升漏洞 | 高危 |
| CVE-2022-35803 | Windows 通用日誌檔案系統驅動程序特權提升漏洞 | 高危 |
| CVE-2022-37969 | Windows 通用日誌檔案系統驅動程序特權提升漏洞 | 高危 |
| CVE-2022-30170 | Windows 憑據漫遊服務特權提升漏洞 | 高危 |
| CVE-2022-35828 | Microsoft Defender for Endpoint for Mac 特權提升漏洞 | 高危 |
| CVE-2022-34719 | Windows 分散式檔案系統 (DFS) 特權提升漏洞 | 高危 |
| CVE-2022-34723 | Windows DPAPI(資料保護應用程序程式設計接口)資訊洩露漏洞 | 高危 |
| CVE-2022-35841 | Windows企業應用管理服務遠端程式碼執行漏洞 | 高危 |
| CVE-2022-35832 | Windows 事件跟蹤拒絕服務漏洞 | 高危 |
| CVE-2022-37955 | Windows 組策略特權提升漏洞 | 高危 |
| CVE-2022-34720 | Windows Internet 金鑰交換 (IKE) 擴展拒絕服務漏洞 | 高危 |
| CVE-2022-33647 | Windows Kerberos 特權提升漏洞 | 高危 |
| CVE-2022-33679 | Windows Kerberos 特權提升漏洞 | 高危 |
| CVE-2022-37964 | Windows 核心特權提升漏洞 | 高危 |
| CVE-2022-37956 | Windows 核心特權提升漏洞 | 高危 |
| CVE-2022-37957 | Windows 核心特權提升漏洞 | 高危 |
| CVE-2022-30200 | Windows 輕量級目錄訪問協議 (LDAP) 遠端程式碼執行漏洞 | 高危 |
| CVE-2022-34726 | Microsoft ODBC 驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2022-34730 | Microsoft ODBC 驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2022-34727 | Microsoft ODBC 驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2022-34732 | Microsoft ODBC 驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2022-34734 | Microsoft ODBC 驅動程序遠端程式碼執行漏洞 | 高危 |
| CVE-2022-35834 | Microsoft OLE DB Provider for SQL Server遠端程式碼執行漏洞 | 高危 |
| CVE-2022-35835 | Microsoft OLE DB Provider for SQL Server遠端程式碼執行漏洞 | 高危 |
| CVE-2022-35836 | Microsoft OLE DB Provider for SQL Server遠端程式碼執行漏洞 | 高危 |
| CVE-2022-35840 | Microsoft OLE DB Provider for SQL Server遠端程式碼執行漏洞 | 高危 |
| CVE-2022-34733 | Microsoft OLE DB Provider for SQL Server遠端程式碼執行漏洞 | 高危 |
| CVE-2022-34731 | Microsoft OLE DB Provider for SQL Server遠端程式碼執行漏洞 | 高危 |
| CVE-2022-26928 | Windows 照片匯入 API 特權提升漏洞 | 高危 |
| CVE-2022-38005 | Windows Print Spooler特權提升漏洞 | 高危 |
| CVE-2022-35831 | Windows 遠端訪問連接管理器資訊洩露漏洞 | 高危 |
| CVE-2022-35830 | Remote Procedure Call Runtime 遠端程式碼執行漏洞 | 高危 |
| CVE-2022-35833 | Windows 安全通道拒絕服務漏洞 | 高危 |
| CVE-2022-30196 | Windows 安全通道拒絕服務漏洞 | 高危 |
| CVE-2022-3053 | Chromium:CVE-2022-3053 指針鎖中的不當實現 | 未知 |
| CVE-2022-3047 | Chromium:CVE-2022-3047 擴展 API 中的策略執行不足 | 未知 |
| CVE-2022-3054 | Chromium:CVE-2022-3054 DevTools 中的策略執行不足 | 未知 |
| CVE-2022-3041 | Chromium:CVE-2022-3041 在 WebSQL 中釋放後使用 | 未知 |
| CVE-2022-3040 | Chromium:CVE-2022-3040 在佈局中釋放後使用 | 未知 |
| CVE-2022-3046 | Chromium:CVE-2022-3046 在瀏覽器標籤中釋放後使用 | 未知 |
| CVE-2022-3039 | Chromium:CVE-2022-3039 在 WebSQL 中釋放後使用 | 未知 |
| CVE-2022-3045 | Chromium:CVE-2022-3045 V8 中不受信任的輸入驗證不足 | 未知 |
| CVE-2022-3044 | Chromium:CVE-2022-3044 站點隔離中的不當實施 | 未知 |
| CVE-2022-3057 | Chromium:CVE-2022-3057 iframe 沙盒中的不當實施 | 未知 |
| CVE-2022-3075 | Chromium:CVE-2022-3075 Mojo 中的資料驗證不足 | 未知 |
| CVE-2022-3058 | Chromium:CVE-2022-3058 在登入流程中免費使用 | 未知 |
| CVE-2022-3038 | Chromium:CVE-2022-3038 在網路服務中免費使用 | 未知 |
| CVE-2022-3056 | Chromium:CVE-2022-3056 內容安全策略中的策略執行不足 | 未知 |
| CVE-2022-3055 | Chromium:CVE-2022-3055 在密碼中免費使用 | 未知 |
| CVE-2022-38012 | Microsoft Edge(基於 Chromium)遠端程式碼執行漏洞 | 低危 |
0x02 處置建議
目前微軟已發佈相關安全更新,建議受影響的使用者儘快修復。
(一) Windows update更新
自動更新:
Microsoft Update默認啟用,當系統檢測到可用更新時,將會自動下載更新並在下一次啟動時安裝。
手動更新:
1、點選「開始菜單」或按Windows快捷鍵,點選進入「設置」
2、選擇「更新和安全」,進入「Windows更新」(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入「Windows更新」,具體步驟為「控制面板」->「系統和安全」->「Windows更新」)
3、選擇「檢查更新」,等待系統將自動檢查並下載可用更新。
4、更新完成後重啟計算機,可通過進入「Windows更新」->「查看更新歷史記錄」查看是否成功安裝了更新。對於沒有成功安裝的更新,可以點選該更新名稱進入微軟官方更新描述連結,點選最新的SSU名稱並在新連結中點選「Microsoft 更新目錄」,然後在新連結中選擇適用於目標系統的補丁進行下載並安裝。
(二) 手動安裝更新
Microsoft官方下載相應補丁進行更新。
9月安全更新下載連結:
https://msrc.microsoft.com/update-guide/releaseNote/2022-Sep
補丁下載示例:
1.打開上述下載連結,點選漏洞列表中要修復的CVE連結。
例1:微軟漏洞列表示例(2月)
2.在微軟公告頁面底部左側【產品】選擇相應的系統類型,點選右側【下載】處打開補丁下載連結。
例2:CVE-2022-21989補丁下載示例
3.點選【安全更新】,打開補丁下載頁面,下載相應補丁並進行安裝。
例3:補丁下載界面
4.安裝完成後重啟計算機。
0x03 參考連結
https://msrc.microsoft.com/update-guide/releaseNote/2022-Sep
https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2022-patch-tuesday-fixes-zero-day-used-in-attacks-63-flaws/
0x04 更新版本
版本 | 日期 | 修改內容 |
V1.0 | 2022-09-14 | 首次發佈 |
