微软2022年11月补丁日多产品安全漏洞风险通告
微软2022年11月补丁日多产品安全漏洞风险通告
原创 QAX CERT 奇安信 CERT 2022-11-09 14:35
奇安信CERT
致力于
第一时间为企业级用户提供安全风险
通告
和
有效
解决方案。
通告摘要
本月,微软共发布了64个漏洞的补丁程序,修复了Microsoft Exchange Server、Visual Studio、Microsoft Office等产品中的漏洞。值得注意的是,本次已修复9月底披露的两个Exchange漏洞(CVE-2022-41040权限提升漏洞和CVE-2022-41082远程代码执行漏洞),奇安信CERT累计已发布关于这两个漏洞的六次更新,由于影响较大,建议客户尽快修复这些漏洞。经研判,以下28个重要漏洞值得关注(包括个12紧急漏洞和16个重要漏洞)。
风险通告
本月,微软共发布了64个漏洞的补丁程序,修复了Microsoft Exchange Server、Visual Studio、Microsoft Office等产品中的漏洞。值得注意的是,本次已修复9月底披露的两个Exchange漏洞(CVE-2022-41040权限提升漏洞和CVE-2022-41082远程代码执行漏洞),奇安信CERT累计已发布关于这两个漏洞的六次更新,由于影响较大,建议客户尽快修复这
些漏洞。经研判,以下28个重要漏洞值得关注(包括个12紧急漏洞和16个重要漏洞)
,如下表所示:
|
CVE编号 |
风险等级 |
漏洞名称 |
利用可能 |
|
CVE-2022-41091 |
重要 |
Windows Web 查询标记安全功能绕过漏洞 |
Y/Y/D |
|
CVE-2022-41082 |
紧急 |
Microsoft Exchange Server 远程代码执行漏洞 |
N/Y/D |
|
CVE-2022-41040 |
紧急 |
Microsoft Exchange Server 权限提升漏洞 |
N/Y/D |
|
CVE-2022-41128 |
紧急 |
Windows 脚本语言远程代码执行漏洞 |
N/Y/D |
|
CVE-2022-41125 |
重要 |
Windows CNG 密钥隔离服务权限提升漏洞 |
N/Y/D |
|
CVE-2022-41073 |
重要 |
Windows 打印后台处理程序权限提升漏洞 |
N/Y/D |
|
CVE-2022-37967 |
紧急 |
Windows Kerberos 权限提升漏洞 |
N/N/M |
|
CVE-2022-37966 |
紧急 |
Windows Kerberos RC4-HMAC 权限提升漏洞 |
N/N/M |
|
CVE-2022-41080 |
紧急 |
Microsoft Exchange Server 权限提升漏洞 |
N/N/M |
|
CVE-2022-41118 |
紧急 |
Windows 脚本语言远程代码执行漏洞 |
N/N/M |
|
CVE-2022-41088 |
紧急 |
Windows 点对点隧道协议远程代码执行漏洞 |
N/N/L |
|
CVE-2022-41039 |
紧急 |
Windows 点对点隧道协议远程代码执行漏洞 |
N/N/L |
|
CVE-2022-41044 |
紧急 |
Windows 点对点隧道协议远程代码执行漏洞 |
N/N/L |
|
CVE-2022-38015 |
紧急 |
Windows Hyper-V 拒绝服务漏洞 |
N/N/L |
|
CVE-2022-39327 |
紧急 |
Azure CLI 代码注入漏洞 |
N/N/L |
|
CVE-2022-41096 |
重要 |
Microsoft DWM 核心库权限提升漏洞 |
N/N/M |
|
CVE-2022-41090 |
重要 |
Windows 点对点隧道协议拒绝服务漏洞 |
N/N/M |
|
CVE-2022-41109 |
重要 |
Windows Win32k 权限提升漏洞 |
N/N/M |
|
CVE-2022-41092 |
重要 |
Windows Win32k 权限提升漏洞 |
N/N/M |
|
CVE-2022-41058 |
重要 |
Windows 网络地址转换 (NAT) 拒绝服务漏洞 |
N/N/M |
|
CVE-2022-41057 |
重要 |
Windows HTTP.sys 权限提升漏洞 |
N/N/M |
|
CVE-2022-41123 |
重要 |
Microsoft Exchange Server 权限提升漏洞 |
N/N/M |
|
CVE-2022-41079 |
重要 |
Microsoft Exchange Server 欺骗漏洞 |
N/N/M |
|
CVE-2022-41049 |
重要 |
Windows Web 查询标记安全功能绕过漏洞 |
N/N/M |
|
CVE-2022-41055 |
重要 |
Windows 人机接口设备信息泄露漏洞 |
N/N/M |
|
CVE-2022-41122 |
重要 |
Microsoft SharePoint Server 欺骗漏洞 |
N/N/M |
|
CVE-2022-38023 |
重要 |
Netlogon RPC 权限提升漏洞 |
N/N/M |
|
CVE-2022-41113 |
重要 |
Windows Win32 内核子系统权限提升漏洞 |
N/N/M |
注:“利用可能”字段包含三个维度(是否公开[Y/N]/是否在野利用[Y/N]/可利用性评估[D/M/L/U/NA])
|
简写 |
定义 |
翻译 |
|
Y |
Yes |
是 |
|
N |
No |
否 |
|
D |
0-Exploitation detected |
0-检测到利用 |
|
M |
1-Exploitation more likely * |
1-被利用可能性极大 |
|
L |
2-Exploitation less likely ** |
2-被利用可能性一般 |
|
U |
3-Exploitation unlikely *** |
3-被利用可能性很小 |
|
NA |
4-N/A |
4-不适用 |
其中,CVE-2022-41091 Windows Web 查询标记安全功能绕过漏洞、CVE-2022-41082 Microsoft Exchange Server 远程代码执行漏洞、CVE-2022-41040 Microsoft Exchange Server 权限提升漏洞、CVE-2022-41128 Windows 脚本语言远程代码执行漏洞、CVE-2022-41125 Windows CNG 密钥隔离服务权限提升漏洞和CVE-2022-41073 Windows 打印后台处理程序权限提升漏洞已检测到在野利用,其中CVE-2022-41091、CVE-2022-41082、CVE-2022-41040已公开披露。以下17个漏洞被微软标记为 “Exploitation More Likely”,这代表这些漏洞更容易被利用:
-
CVE-2022-41096 Microsoft DWM 核心库权限提升漏洞 (N/N/
M
) -
CVE-2022-41123 Microsoft Exchange Server 权限提升漏洞 (N/N/
M
) -
CVE-2022-41080 Microsoft Exchange Server 权限提升漏洞 (N/N/
M
) -
CVE-2022-41079 Microsoft Exchange Server 欺骗漏洞 (N/N/
M
) -
CVE-2022-41122 Microsoft SharePoint Server 欺骗漏洞 (N/N/M)
-
CVE-2022-38023 Netlogon RPC 权限提升漏洞 (N/N/
M
) -
CVE-2022-41057 Windows HTTP.sys 权限提升漏洞 (N/N/
M
) -
CVE-2022-37966 Windows Kerberos RC4-HMAC 权限提升漏洞 (N/N/
M
) -
CVE-2022-37967 Windows Kerberos 权限提升漏洞 (N/N/
M
) -
CVE-2022-41049 Windows Web 查询标记安全功能绕过漏洞 (N/N/
M
) -
CVE-2022-41113 Windows Win32 内核子系统权限提升漏洞 (N/N/
M
) -
CVE-2022-41109 Windows Win32k 权限提升漏洞 (N/N/
M
) -
CVE-2022-41092 Windows Win32k 权限提升漏洞 (N/N/
M
) -
CVE-2022-41055 Windows 人机接口设备信息泄露漏洞 (N/N/
M
) -
CVE-2022-41090 Windows 点对点隧道协议拒绝服务漏洞 (N/N/
M
) -
CVE-2022-41058 Windows 网络地址转换 (NAT) 拒绝服务漏洞 (N/N/
M
) -
CVE-2022-41118 Windows 脚本语言远程代码执行漏洞 (N/N/
M
)
鉴于这些漏洞危害较大,建议客户尽快安装更新补丁。
漏洞描述
本月,微软共发布了64个漏洞的补丁程序,其中,CVE-2022-41091 Windows Web 查询标记安全功能绕过漏洞、CVE-2022-41082 Microsoft Exchange Server 远程代码执行漏洞、CVE-2022-41040 Microsoft Exchange Server 权限提升漏洞、CVE-2022-41128 Windows 脚本语言远程代码执行漏洞、CVE-2022-41125 Windows CNG 密钥隔离服务权限提升漏洞和CVE-2022-41073 Windows 打印后台处理程序权限提升漏洞已检测到在野利用。以下23个漏洞被微软标记为“Exploitation Detected”或“Exploitation More Likely”,这代表这些漏洞更容易被利用:
-
CVE-2022-41091 Windows Web 查询标记安全功能绕过漏洞 (
Y/Y/D
) -
CVE-2022-41082 Microsoft Exchange Server 远程代码执行漏洞 (N/
Y/D
) -
CVE-2022-41040 Microsoft Exchange Server 权限提升漏洞 (N/
Y/D
) -
CVE-2022-41125 Windows CNG 密钥隔离服务权限提升漏洞 (N/
Y/D
) -
CVE-2022-41073 Windows 打印后台处理程序权限提升漏洞 (N/
Y/D
) -
CVE-2022-41128 Windows 脚本语言远程代码执行漏洞 (N/
Y/D
) -
CVE-2022-41096 Microsoft DWM 核心库权限提升漏洞 (N/N/
M
) -
CVE-2022-41123 Microsoft Exchange Server 权限提升漏洞 (N/N/
M
) -
CVE-2022-41080 Microsoft Exchange Server 权限提升漏洞 (N/N/
M
) -
CVE-2022-41079 Microsoft Exchange Server 欺骗漏洞 (N/N/
M
) -
CVE-2022-41122 Microsoft SharePoint Server 欺骗漏洞 (N/N/
M
) -
CVE-2022-38023 Netlogon RPC 权限提升漏洞 (N/N/
M
) -
CVE-2022-41057 Windows HTTP.sys 权限提升漏洞 (N/N/
M
) -
CVE-2022-37966 Windows Kerberos RC4-HMAC 权限提升漏洞 (N/N/
M
) -
CVE-2022-37967 Windows Kerberos 权限提升漏洞 (N/N/
M
) -
CVE-2022-41049 Windows Web 查询标记安全功能绕过漏洞 (N/N/
M
) -
CVE-2022-41113 Windows Win32 内核子系统权限提升漏洞 (N/N/
M
) -
CVE-2022-41109 Windows Win32k 权限提升漏洞 (N/N/
M
) -
CVE-2022-41092 Windows Win32k 权限提升漏洞 (N/N/
M
) -
CVE-2022-41055 Windows 人机接口设备信息泄露漏洞 (N/N/
M
) -
CVE-2022-41090 Windows 点对点隧道协议拒绝服务漏洞 (N/N/
M
) -
CVE-2022-41058 Windows 网络地址转换 (NAT) 拒绝服务漏洞 (N/N/
M
) -
CVE-2022-41118 Windows 脚本语言远程代码执行漏洞 (N/N/
M
)
经研判,以下28个漏洞值得关注,漏洞的详细信息如下:
1、CVE-2022-41091 Windows Web查询标记安全功能绕过漏洞
|
漏洞名称 |
Windows Web 查询标记安全功能绕过漏洞 |
||||
|
漏洞类型 |
安全特性绕过 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-41091 |
|
公开状态 |
已公开 |
在野利用 |
已发现 |
||
|
漏洞描述 |
将文件下载到运行 Windows 的设备时,Web 标记将添加到文件中,将其源标识为来自 Internet。当用户打开带有“Web 标记”的文件时,将显示一个 安全警告 横幅,其中包含“启用内容”按钮。 Windows Web 查询标记安全功能存在安全特性绕过漏洞,攻击者可以诱使用户点击恶意链接然后将用户链接到攻击者网站或发送恶意文件给用户,用户点击恶意链接或者打开恶意文件时能绕过Web 查询标记。此漏洞已被检测到在野利用。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41091 |
|||||
2、CVE-2022-41040 Microsoft Exchange Server权限提升漏洞
|
漏洞名称 |
Microsoft Exchange Server 权限提升漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-41040 |
|
公开状态 |
未公开 |
在野利用 |
已发现 |
||
|
漏洞描述 |
Microsoft Exchange Server 存在权限提升漏洞,经过身份认证的远程攻击者可利用此漏洞绕过相关安全特性,获得在系统上下文中运行 PowerShell 的权限。配合其他漏洞可对目标发起进一步利用,实现任意代码执行。此漏洞已被检测到在野利用。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41040 |
|||||
3、CVE-2022-41128 Windows脚本语言远程代码执行漏洞
|
漏洞名称 |
Windows 脚本语言远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-41128 |
|
公开状态 |
未公开 |
在野利用 |
已发现 |
||
|
漏洞描述 |
Windows 脚本语言存在远程代码执行漏洞,该漏洞需要受影响的windows的版本用户访问共享服务器,攻击者可通过诱导用户访问恶意的共享服务器或者网站来利用此漏洞,从而在目标系统上执行任意代码。注意,该漏洞正在被广泛利用。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41128 |
|||||
4、CVE-2022-41125 Windows CNG密钥隔离服务权限提升漏洞
|
漏洞名称 |
Windows CNG 密钥隔离服务权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-41125 |
|
公开状态 |
未公开 |
在野利用 |
已发现 |
||
|
漏洞描述 |
Windows CNG 密钥隔离服务存在权限提升漏洞。经过身份认证的攻击者可以利用此漏洞将权限提升至SYSTEM权限。此漏洞已被检测到在野利用。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41125 |
|||||
5、CVE-2022-41073 Windows打印后台处理程序权限提升漏洞
|
漏洞名称 |
Windows 打印后台处理程序权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-41073 |
|
公开状态 |
未公开 |
在野利用 |
已发现 |
||
|
漏洞描述 |
Windows 打印后台处理程序存在权限提升漏洞。经过身份认证的攻击者可以利用此漏洞将权限提升至SYSTEM 权限。此漏洞已被检测到在野利用。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41073 |
|||||
6、CVE-2022-41082 Microsoft Exchange Server远程代码执行漏洞
|
漏洞名称 |
Microsoft Exchange Server 远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-41082 |
|
公开状态 |
未公开 |
在野利用 |
已发现 |
||
|
漏洞描述 |
Microsoft Exchange Server 存在远程代码执行漏洞,经过身份验证的攻击者可利用此漏洞在目标系统上执行任意代码。此漏洞已被检测到在野利用。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41082 |
|||||
7、CVE-2022-37967 Windows Kerberos权限提升漏洞
|
漏洞名称 |
Windows Kerberos 权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-37967 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows Kerberos 存在权限提升漏洞,经过身份认证的远程攻击者可以利用此漏洞控制允许委派的服务,然后修改Kerberos PAC将权限提升至管理员权限。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37967 |
|||||
8、CVE-2022-37966 Windows Kerberos RC4-HMAC权限提升漏洞
|
漏洞名称 |
Windows Kerberos RC4-HMAC 权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-37966 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows Kerberos RC4-HMAC 存在权限提升漏洞,未经身份验证的攻击者可以利用 RFC 4757(Kerberos 加密类型 RC4-HMAC-MD5)和 MS-PAC(特权属性证书数据结构规范)中的加密协议漏洞,以绕过 Windows AD 环境中的安全功能,获取到管理员权限。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37966 |
|||||
9、CVE-2022-41080 Microsoft Exchange Server权限提升漏洞
|
漏洞名称 |
Microsoft Exchange Server 权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-41080 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Microsoft Exchange Server 存在权限提升漏洞。经过身份认证的攻击者可以利用此漏洞将权限提升至SYSTEM 权限。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41080 |
|||||
10、CVE-2022-41118 Windows脚本语言远程代码执行漏洞
|
漏洞名称 |
Windows 脚本语言远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-41118 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows 脚本语言存在远程代码执行漏洞,该漏洞需要受影响的windows用户访问共享服务器,攻击者可通过诱导用户访问恶意的共享服务器或者网站来利用此漏洞,从而在目标系统上执行任意代码。该漏洞影响所有受支持的 Microsoft Windows 版本。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41118 |
|||||
11、CVE-2022-41088 Windows点对点隧道协议远程代码执行漏洞
|
漏洞名称 |
Windows 点对点隧道协议远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-41088 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows点对点隧道协议存在远程代码执行漏洞,攻击者可以向PPTP 服务器发送特制的恶意 PPTP 数据包触发漏洞,在PPTP服务器上执任意代码。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41088 |
|||||
12、CVE-2022-41044 Windows点对点隧道协议远程代码执行漏洞
|
漏洞名称 |
Windows点对点隧道协议远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-41044 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows点对点隧道协议存在远程代码执行漏洞,未经身份认证的攻击者可以向 RAS 服务器发送特制的连接请求触发漏洞,在RAS 服务器上执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41044 |
|||||
13、CVE-2022-41039 Windows点对点隧道协议远程代码执行漏洞
|
漏洞名称 |
Windows 点对点隧道协议远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-41039 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows 点对点隧道协议存在远程代码执行漏洞,未经身份认证的攻击者可以向 RAS 服务器发送特制的连接请求触发漏洞,在RAS 服务器上执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41039 |
|||||
14、CVE-2022-38015 Windows Hyper-V拒绝服务漏洞
|
漏洞名称 |
Windows Hyper-V 拒绝服务漏洞 |
||||
|
漏洞类型 |
拒绝服务 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-38015 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows Hyper-V 存在拒绝服务漏洞,经过身份认证的攻击者可以利用该漏洞造成Hyper-V物理机拒绝服务。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-38015 |
|||||
15、CVE-2022-39327 Azure CLI代码注入漏洞
|
漏洞名称 |
Azure CLI 代码注入漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2022-39327 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Azure CLI 存在代码注入漏洞,在运行Azure CLI 命令时,参数由外部源提供,攻击者可以利用该漏洞在目标机器上执行系统命令,该命令必须通过powershell执行,才能利用该漏洞。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-39327 |
|||||
16、CVE-2022-41096 Microsoft DWM核心库权限提升漏洞
|
漏洞名称 |
Microsoft DWM 核心库权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-41096 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Microsoft DWM Core Library存在权限提升漏洞,经过身份认证的攻击者可以利用此漏洞将权限提升至SYSTEM 权限。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41096 |
|||||
17、CVE-2022-41090 Windows点对点隧道协议拒绝服务漏洞
|
漏洞名称 |
Windows 点对点隧道协议拒绝服务漏洞 |
||||
|
漏洞类型 |
拒绝服务 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-41090 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows 点对点隧道协议存在拒绝服务漏洞,未经身份认证的攻击者可以利用此漏洞造成目标系统拒绝服务。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41090 |
|||||
18、CVE-2022-41109 Windows Win32k权限提升漏洞
|
漏洞名称 |
Windows Win32k 权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-41109 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows Win32k 存在权限提升漏洞,经过身份认证的攻击者可以利用此漏洞将权限提升至SYSTEM 权限。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41109 |
|||||
19、CVE-2022-41092 Windows Win32k权限提升漏洞
|
漏洞名称 |
Windows Win32k 权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-41092 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Win32k 存在权限提升漏洞,经过身份认证的攻击者可通过运行特制程序来利用此漏洞,从而在目标系统上将权限提升至SYSTEM权限。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41092 |
|||||
20、CVE-2022-41058 Windows网络地址转换(NAT)拒绝服务漏洞
|
漏洞名称 |
Windows 网络地址转换 (NAT) 拒绝服务漏洞 |
||||
|
漏洞类型 |
拒绝服务 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-41058 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows 网络地址转换 (NAT) 存在拒绝服务漏洞,未经身份认证的攻击者可以利用此漏洞对目标系统造成拒绝服务。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41058 |
|||||
21、CVE-2022-41057 Windows HTTP.sys权限提升漏洞
|
漏洞名称 |
Windows HTTP.sys 权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-41057 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows HTTP.sys 存在权限提升漏洞,经过身份认证的攻击者可以利用此漏洞提升权限至 SYSTEM 权限。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41057 |
|||||
22、CVE-2022-41123 Microsoft Exchange Server权限提升漏洞
|
漏洞名称 |
Microsoft Exchange Server 权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-41123 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Microsoft Exchange Server 存在权限提升漏洞,经过身份认证的攻击者可以利用此漏洞提升权限至 SYSTEM 权限。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41123 |
|||||
23、CVE-2022-41079 Microsoft Exchange Server欺骗漏洞
|
漏洞名称 |
Microsoft Exchange Server 欺骗漏洞 |
||||
|
漏洞类型 |
欺骗 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-41079 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Microsoft Exchange Server 存在欺骗漏洞,该漏洞是由于对用户提供的数据的错误而导致,远程攻击者可以执行欺骗攻击。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41079 |
|||||
24、CVE-2022-41049 Windows Web查询标记安全功能绕过漏洞
|
漏洞名称 |
Windows Web 查询标记安全功能绕过漏洞 |
||||
|
漏洞类型 |
安全特性绕过 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-41049 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows Web 查询标记安全功能存在安全特性绕过漏洞,攻击者可以制作恶意文件或者恶意网站来规避 Web 标记 (MOTW) 防御,诱使用户点击将用户定向到攻击者站点的链接或发送恶意附件。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41049 |
|||||
25、CVE-2022-41055 Windows人机接口设备信息泄露漏洞
|
漏洞名称 |
Windows 人机接口设备信息泄露漏洞 |
||||
|
漏洞类型 |
信息泄露 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-41055 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows 人机接口设备存在信息泄露漏洞,经过身份认证的攻击者可以利用此漏洞读取内核的数据。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41055 |
|||||
26、CVE-2022-41122 Microsoft SharePoint Server欺骗漏洞
|
漏洞名称 |
Microsoft SharePoint Server 欺骗漏洞 |
||||
|
漏洞类型 |
欺骗 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-41122 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Microsoft SharePoint Server 存在欺骗漏洞,经过身份认证的攻击者可以利用此漏洞获取到敏感信息。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41122 |
|||||
27、CVE-2022-38023 Netlogon RPC权限提升漏洞
|
漏洞名称 |
Netlogon RPC 权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-38023 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Netlogon RPC 存在权限提升漏洞,当使用 RPC Signing 而不是 RPC Sealing 时,经过身份验证的攻击者可以利用 Windows Netlogon 协议中的加密协议漏洞,获取到服务的控制权,然后修改 Netlogon 协议流量将权限提升至管理员权限。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-38023 |
|||||
28、CVE-2022-41113 Windows Win32k子系统权限提升漏洞
|
漏洞名称 |
Windows Win32 内核子系统权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2022-41113 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Windows Win32 内核子系统存在权限提升漏洞,经过身份认证的攻击者可以利用此漏洞将权限提升至 SYSTEM 权限。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41113 |
|||||
风险等级
奇安信 CERT风险评级为:
高危
风险等级:
蓝色(一般事件)
处置建议
使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。
也可以采用以下官方解决方案及缓解方案来防护此漏洞:
Windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新
4、重启计算机,安装更新
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
另外,对于不能自动更新的系统版本(如Windows 7、Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的11月补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2022-Nov
产品线解决方案
奇安信天擎终端安全管理系统解决方案
奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户,可以将补丁库版本更新到:2022.11.9.1及以上版本,对内网终端进行补丁更新。
推荐采用自动化运维方案,如果控制中心可以连接互联网的用户场景,建议设置为自动从奇安信云端更新补丁库至2022.11.9.1版本。
控制中心补丁库更新方式:每天04:00-06:00自动升级,升级源为从互联网升级。
纯隔离网内控制中心不能访问互联网,不能下载补丁库和补丁文件,需使用离线升级工具定期导入补丁库和文件到控制中心。
参考资料
[1]https://msrc.microsoft.com/update-guide/releaseNote/2022-Nov
时间线
2022年11月9日,
奇安信 CERT发布安全风险通告。
点击阅读原文
到奇安信NOX-安全监测平台查询更多漏