微软2022年9月补丁日多产品安全漏洞风险通告

发布于 作者:

微软2022年9月补丁日多产品安全漏洞风险通告

原创 QAX CERT 奇安信 CERT 2022-09-14 10:49

奇安信CERT

致力于
第一时间为企业级用户提供安全风险
通告

有效
解决方案。

通告摘要

本月,微软共发布了63个漏洞的补丁程序,修复了Windows Server、Microsoft Office、.NET Framework、Microsoft SharePoint等产品中的漏洞。
其中CVE-2022-34718 Windows TCP/IP 远程代码执行漏洞由奇安信代码安全实验室发现。
经研判,以下11个重要漏洞值得关注(包括个5紧急漏洞和6个重要漏洞)。

风险通告

本月,微软共发布了63个漏洞的补丁程序,修复了Windows Server、Microsoft
Office、.NET Framework、Microsoft SharePoint等产品中的漏洞。
其中CVE-2022-34718 Windows TCP/IP 远程代码执行漏洞由奇安信代码安全实验室发现。
经研判,以下11个重要漏洞值得关注(包括个5紧急漏洞和6个重要漏洞),如下表所示:

CVE编号

风险等级

漏洞名称

利用可能

CVE-2022-37969

重要

Windows common log file system driver权限提升漏洞

Y/Y/D

CVE-2022-34718

紧急

Windows TCP/IP 远程代码执行漏洞

N/N/M

CVE-2022-34721

紧急

Windows Internet 密钥交换 (IKE) 协议扩展远程代码执行漏洞

N/N/L

CVE-2022-34722

紧急

Windows Internet 密钥交换 (IKE) 协议扩展远程代码执行漏洞

N/N/L

CVE-2022-34700

紧急

Microsoft Dynamics CRM (on-premises) 远程代码执行漏洞

N/N/L

CVE-2022-35805

紧急

Microsoft Dynamics CRM   (on-premises) 远程代码执行漏洞

N/N/L

CVE-2022-34729

重要

Windows GDI 权限提升漏洞

N/N/M

CVE-2022-34725

重要

Windows ALPC 权限提升漏洞

N/N/M

CVE-2022-35803

重要

Windows common log file system driver权限提升漏洞

N/N/M

CVE-2022-37957

重要

Windows 内核权限提升漏洞

N/N/M

CVE-2022-37954

重要

DirectX 图形内核权限提升漏洞

N/N/M

注:“利用可能”字段包含三个维度(是否公开[Y/N]/是否在野利用[Y/N]/可利用性评估[D/M/L/U/NA])

简写

定义

翻译

Y

Yes

N

No

D

0-Exploitation   detected

0-检测到利用

M

1-Exploitation   more likely *

1-被利用可能性极大

L

2-Exploitation   less likely **

2-被利用可能性一般

U

3-Exploitation   unlikely ***

3-被利用可能性很小

NA

4-N/A

4-不适用

其中CVE-2022-23960 ARM:缓存推测限制漏洞细节已公开,CVE-2022-37969 Windows common log file system driver权限提升漏洞已检测到在野利用。
– Windows common log file system driver权限提升漏洞 (
Y/Y/D
)

  • ARM:缓存推测限制漏洞 (
    Y
    /N/L)

以下6个漏洞被微软标记为“Exploitation More Likely”,这代表这些漏洞更容易被利用:
– CVE-2022-34718  Windows TCP/IP 远程代码执行漏洞 (N/N/
M
)

  • CVE-2022-34729  Windows GDI 权限提升漏洞 (N/N/
    M
    )

  • CVE-2022-34725  Windows ALPC 权限提升漏洞 (N/N/
    M
    )

  • CVE-2022-35803  Windows common log file system driver权限提升漏洞 (N/N/
    M
    )

  • CVE-2022-37957  Windows 内核权限提升漏洞 (N/N/
    M
    )

  • CVE-2022-37954  DirectX 图形内核权限提升漏洞 (N/N/
    M
    )

其中,CVE-2022-34718 Windows TCP/IP 远程代码执行漏洞由奇安信代码安全实验室发现:

鉴于这些漏洞危害较大,建议客户尽快安装更新补丁。

漏洞描述

本月,微软共发布了63个漏洞的补丁程序,其中, CVE-2022-23960 ARM 缓存推测限制漏洞技术细节已公开披露,CVE-2022-37969 Windows common log file system driver权限提升漏洞已检测到在野攻击。
以下7个漏洞被微软标记为 “Exploitation Detected”或“Exploitation More Likely”,这代表这些漏洞已被利用或更容易被利用:

  • CVE-2022-37969  Windows common log file system driver权限提升漏洞 (
    Y/Y/D
    )

  • CVE-2022-34718  Windows TCP/IP 远程代码执行漏洞 (N/N/
    M
    )

  • CVE-2022-34729  Windows GDI 权限提升漏洞 (N/N/
    M
    )

  • CVE-2022-34725  Windows ALPC 权限提升漏洞 (N/N/
    M
    )

  • CVE-2022-35803  Windows common log file system driver权限提升漏洞 (N/N/
    M
    )

  • CVE-2022-37957  Windows 内核权限提升漏洞 (N/N/
    M
    )

  • CVE-2022-37954  DirectX 图形内核权限提升漏洞 (N/N/
    M
    )

经研判,以下11个漏洞值得关注,漏洞的详细信息如下:

1CVE-2022-37969 Windows common log file system driver权限提升漏洞

漏洞名称

Windows common log file system driver权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2022-37969

公开状态

已公开

在野利用

已发现

漏洞描述

该漏洞允许本地用户提升权限。由于 Windows common log file system driver程序中的边界错误,本地非特权用户可以运行一个特制的程序来触发内存损坏并执行任意代码,提升权限。在今年4月补丁日,微软修复了CLFS中的一个类似的漏洞CVE-2022-24521。需要注意的是,这个漏洞已发现在野利用。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37969

2CVE-2022-34718 Windows TCP/IP远程代码执行漏洞

漏洞名称

Windows TCP/IP 远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

CVE-2022-34718

公开状态

未公开

在野利用

未发现

漏洞描述

该漏洞允许远程攻击者在系统上执行任意代码。由于在 Windows TCP/IP 中对用户输入没有进行充分的验证,远程攻击者可以发送一个特制的 IPv6数据包,触发漏洞,并在目标系统上执行任意代码。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34718

3CVE-2022-34721 Windows Internet密钥交换(IKE)协议扩展远程代码执行漏洞

漏洞名称

Windows Internet 密钥交换 (IKE) 协议扩展远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

CVE-2022-34721

公开状态

未公开

在野利用

未发现

漏洞描述

该漏洞允许远程攻击者在系统上执行任意代码。这个漏洞的存在是由于在处理 IKEv1数据包时,用户输入没有得到充分的验证。远程攻击者可以向受影响的系统发送特制的 IKEv1数据包,触发漏洞,并执行任意代码。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34721

4CVE-2022-34722 Windows Internet密钥交换(IKE)协议扩展远程代码执行漏洞

漏洞名称

Windows Internet 密钥交换(IKE) 协议扩展远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

CVE-2022-34722

公开状态

未公开

在野利用

未发现

漏洞描述

该漏洞允许远程攻击者在系统上执行任意代码。这个漏洞的存在是由于在处理 IKEv1数据包时用户提供的输入没有得到充分的验证。远程攻击者可以向受影响的系统发送特制的 IKEv1数据包,触发漏洞并执行任意代码。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34722

5CVE-2022-34700 Microsoft Dynamics CRM (on-premises)远程代码执行漏洞

漏洞名称

Microsoft Dynamics CRM (on-premises) 远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

CVE-2022-34700

公开状态

未公开

在野利用

未发现

漏洞描述

该漏洞允许远程用户在数据库中执行任意的 SQL 查询。漏洞的存在是由于用户提供的数据没有得到充分的过滤。远程用户可以向受影响的应用程序发送精心制作的请求,并在应用程序数据库中执行任意的 SQL 命令。

成功利用该漏洞允许远程攻击者读取、删除、修改数据库中的数据,并获得对受影响应用程序的完全控制权。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34700

6CVE-2022-35805 Microsoft Dynamics CRM (on-premises)远程代码执行漏洞

漏洞名称

Microsoft Dynamics CRM (on-premises) 远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

CVE-2022-35805

公开状态

未公开

在野利用

未发现

漏洞描述

该漏洞允许远程攻击者在数据库中执行任意的 SQL 查询。漏洞的存在是由于用户提供的数据在 Microsoft Dynamics CRM (内部)中没有得到足够的过滤。远程用户可以向受影响的应用程序发送精心制作的请求,并在应用程序数据库中执行任意的 SQL 命令。

成功利用该漏洞允许远程攻击者读取、删除、修改数据库中的数据,并获得对受影响应用程序的完全控制权。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-35805

7CVE-2022-34729 Windows GDI权限提升漏洞

漏洞名称

Windows GDI 权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2022-34729

公开状态

未公开

在野利用

未发现

漏洞描述

该漏洞允许本地用户升级系统上的特权。该漏洞的存在是由于应用程序没有正确地在 Windows GDI 中施加安全限制,从而导致安全限制绕过和权限提升。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34729

8CVE-2022-34725 Windows ALPC权限提升漏洞

漏洞名称

Windows ALPC 权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2022-34725

公开状态

未公开

在野利用

未发现

漏洞描述

该漏洞允许本地用户升级系统上的特权。由于 Windows ALPC 中的条件竞争。本地用户可以利用条件竞争,访问未授权的敏感信息,并提升权限。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34725

9、CVE-2022-35803 Windows common log file system driver权限提升漏洞

漏洞名称

Windows common log file system driver权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2022-35803

公开状态

未公开

在野利用

未发现

漏洞描述

该漏洞允许本地用户升级系统上的特权。该漏洞的存在是由于应用程序没有正确地对 Windows common log file system driver施加安全限制,从而导致安全限制绕过和权限提升。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-35803

10CVE-2022-37957 Windows内核权限提升漏洞

漏洞名称

Windows 内核权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2022-37957

公开状态

未公开

在野利用

未发现

漏洞描述

该漏洞允许本地用户升级系统上的特权。漏洞的存在是由于应用程序没有正确地在 Windows 内核中施加安全限制,从而导致安全限制绕过和权限提升。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37957

11CVE-2022-37954 DirectX图形内核权限提升漏洞

漏洞名称

DirectX 图形内核权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2022-37954

公开状态

未公开

在野利用

未发现

漏洞描述

该漏洞允许本地用户升级系统上的特权。该漏洞的存在是由于应用程序没有正确地在 DirectX 图形内核中施加安全限制,从而导致安全限制绕过和权限提升。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37954

风险等级

奇安信 CERT风险评级为:
高危

风险等级:
蓝色(一般事件)

处置建议

使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。

也可以采用以下官方解决方案及缓解方案来防护此漏洞:

Windows自动更新

Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”

2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)

3、选择“检查更新”,等待系统将自动检查并下载可用更新

4、重启计算机,安装更新

系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。

手动安装补丁

另外,对于不能自动更新的系统版本(如Windows 7、Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的9月补丁并安装:

https://msrc.microsoft.com/update-guide/releaseNote/2022-Sep

产品线解决方案

奇安信天擎终端安全管理系统解决方案

奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户,可以将补丁库版本更新到:
2022.09.14.1
及以上版本,对内网终端进行补丁更新。

推荐采用自动化运维方案,如果控制中心可以连接互联网的用户场景,建议设置为自动从奇安信云端更新补丁库至
2022.09.14.1
版本。

控制中心补丁库更新方式:每天04:00-06:00自动升级,升级源为从互联网升级。

纯隔离网内控制中心不能访问互联网,不能下载补丁库和补丁文件,需使用离线升级工具定期导入补丁库和文件到控制中心。

参考资料

[1]https://msrc.microsoft.com/update-guide/releaseNote/2022-Sep

时间线

2022年9月14日,
奇安信 CERT发布安全风险通告。

点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情