微软六月补丁日:广泛关注的Follina漏洞(CVE-2022-30190)得以修复

发布于 作者:

微软六月补丁日:广泛关注的Follina漏洞(CVE-2022-30190)得以修复

腾讯安全威胁情报中心 2022-06-15 10:40

长按二维码关注

腾讯安全威胁情报中心

今天是微软2022年6月例行补丁日,微软修复了56个安全漏洞,最近被广泛跟踪报道的 Windows MSDT“Follina”0day漏洞(CVE-2022-30190)今天得以修复。

6月安全更新修复的 56 个漏洞中,有 3 个被归类为“严重”级,这些漏洞可导致远程代码执行,其余的被归类为“重要”级。

腾讯安全专家建议所有Windows用户尽快安装更新,避免遭遇黑客攻击利用。企业用户可通过腾讯iOA零信任安全管理系统安装补丁,个人用户推荐使用腾讯电脑管家或Windows安全更新修复。

具体漏洞性质分类如下:
– 12个提权漏洞

  • 1个安全功能绕过漏洞

  • 27个远程代码执行漏洞

  • 11个信息泄露漏洞

  • 3个拒绝服务漏洞

  • 1个欺骗漏洞

本月漏洞修复包括以下产品、功能和角色:
– .NET and Visual Studio

  • Azure OMI

  • Azure Real Time Operating System

  • Azure Service Fabric Container

  • Intel

  • Microsoft Edge (Chromium-based)

  • Microsoft Office

  • Microsoft Office Excel

  • Microsoft Office SharePoint

  • Microsoft Windows ALPC

  • Microsoft Windows Codecs Library

  • Remote Volume Shadow Copy Service (RVSS)

  • Role: Windows Hyper-V

  • SQL Server

  • Windows Ancillary Function Driver for WinSock

  • Windows App Store

  • Windows Autopilot

  • Windows Container Isolation FS Filter Driver

  • Windows Container Manager Service

  • Windows Defender

  • Windows Encrypting File System (EFS)

  • Windows File History Service

  • Windows Installer

  • Windows iSCSI

  • Windows Kerberos

  • Windows Kernel

  • Windows LDAP – Lightweight Directory Access Protocol

  • Windows Local Security Authority Subsystem Service

  • Windows Media

  • Windows Network Address Translation (NAT)

  • Windows Network File System

  • Windows PowerShell

  • Windows SMB

须重点关注的安全漏洞:

1.微软 Windows 支持诊断工具 (MSDT) 远程执行代码漏洞

(又称“Follina”漏洞,编号CVE-2022-30190),CVSS评分:7.8

安全研究人员在国外社交媒体公开了一个Office 代码执行漏洞的在野利用、PoC和技术细节均被公开,攻击者可通过恶意Office文件中远程模板功能从服务器获取恶意HTML文件,通过 ‘ms-msdt’ URI来执行恶意PowerShell代码。

该漏洞在宏被禁用的情况下,仍能通过MSDT(Microsoft Support Diagnostics Tool)功能执行代码,当恶意文件保存为RTF格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可在目标机器上执行任意代码。

5月31日,微软官方发布漏洞风险通告,将该漏洞确认为“微软 Windows 支持诊断工具 (MSDT) 远程执行代码漏洞“,漏洞CVSS评分7.8(高危)。

使用从应用程序(如 Word)的 URL 协议调用 MSDT 时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以使用被调用应用程序的权限运行任意代码。然后,攻击者可以在用户权限允许的上下文中安装程序、查看、更改或删除数据,或创建新帐户。

Follina 漏洞被披露后引发全球广泛关注,随后世界各地的安全研究人员发现该漏洞被专业APT组织和网络黑灰产业积极利用。
腾讯安全5月31日已支持对利用
该漏洞

攻击活动
进行检测,该漏洞已于今日补丁更新修复。

参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

2.Windows Hyper-V 远程执行代码漏洞(CVE-2022-30163)

CVSS评分:8.5,严重级,官方评估:利用可能性小。

若要利用此漏洞,攻击者可以在 Hyper-V 来宾上运行经特殊设计的应用程序,从而导致 Hyper-V 主机操作系统执行任意代码。成功利用此漏洞,可以从低特权 Hyper-V 来宾执行成功的攻击。攻击者可以遍历来宾的安全边界,以便在 Hyper-V 主机执行环境中执行代码。

攻击复杂性很高,成功利用此漏洞需要攻击者赢得争用条件。

参考链接:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30163

3.Windows 轻型目录访问协议 (LDAP) 远程执行代码漏洞(CVE-2022-30139)

CVSS评分:7.5,严重级,官方评估利用可能性小。

该漏洞需要满足特殊条件才能被利用:仅当 MaxReceiveBuffer LDAP 策略设置为高于默认值的值时,此漏洞才可被利用。具有此策略默认值的系统不会受到攻击。

攻击复杂性很高 (AC:H),成功利用此漏洞需要攻击者准备目标环境。

参考链接:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30139

4.Windows 网络文件系统远程执行代码漏洞(CVE-2022-30136)

CVSS评分:9.8,严重级,官方评估“利用的可能性较大”。

通过对网络文件系统 (NFS) 服务进行未经身份验证的特制调用以触发远程执行代码 (RCE),可以通过网络利用此漏洞。

参考链接:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30136

以下是2022 年6月补丁日更新中已解决漏洞和已发布公告的完整列表:

标签

CVE ID

CVE 标题

严重性

.NET 和 Visual Studio

CVE-2022-30184

.NET 和 Visual Studio  信息泄露漏洞

重要

Azure OMI

CVE-2022-29149

Azure 开放管理基础结构 (OMI) 特权提升漏洞

重要

Azure 实时操作系统

CVE-2022-30179

Azure RTOS GUIX Studio 远程代码执行漏洞

重要

Azure 实时操作系统

CVE-2022-30178

Azure RTOS GUIX Studio 远程代码执行漏洞

重要

Azure 实时操作系统

CVE-2022-30180

Azure RTOS GUIX Studio 信息泄露漏洞

重要

Azure 实时操作系统

CVE-2022-30177

Azure RTOS GUIX Studio 远程代码执行漏洞

重要

Azure Service Fabric 容器

CVE-2022-30137

Azure Service Fabric 容器特权提升漏洞

重要

英特尔

CVE-2022-21127

Intel:CVE-2022-21127  特殊寄存器缓冲区数据采样更新(SRBDS 更新)

重要

英特尔

ADV220002

英特尔处理器 MMIO 陈旧数据漏洞的
 Microsoft 指南

未知

英特尔

CVE-2022-21123

英特尔:CVE-2022-21123 共享缓冲区数据读取 (SBDR)

重要

英特尔

CVE-2022-21125

英特尔:CVE-2022-21125 共享缓冲区数据采样 (SBDS)

重要

英特尔

CVE-2022-21166

英特尔:CVE-2022-21166 设备寄存器部分写入 (DRPW)

重要

Microsoft Edge(基于
 Chromium)

CVE-2022-2011

Chromium:CVE-2022-2011 在 ANGLE 中免费后使用

未知

Microsoft Edge(基于
 Chromium)

CVE-2022-2010

Chromium:CVE-2022-2010 合成中读取越界

未知

Microsoft Edge(基于
 Chromium)

CVE-2022-2008

Chromium:CVE-2022-2008
 WebGL 中的内存访问越界

未知

Microsoft Edge(基于
 Chromium)

CVE-2022-2007

Chromium:CVE-2022-2007 在 WebGPU 中免费后使用

未知

Microsoft Edge(基于
 Chromium)

CVE-2022-22021

Microsoft Edge(基于
 Chromium)远程代码执行漏洞

缓和

Microsoft Office

CVE-2022-30159

Microsoft Office 信息泄露漏洞

重要

Microsoft Office

CVE-2022-30171

Microsoft Office 信息泄露漏洞

重要

Microsoft Office

CVE-2022-30172

Microsoft Office 信息泄露漏洞

重要

Microsoft Office

CVE-2022-30174

Microsoft Office 远程代码执行漏洞

重要

Microsoft Office Excel

CVE-2022-30173

Microsoft Excel 远程代码执行漏洞

重要

Microsoft Office SharePoint

CVE-2022-30158

Microsoft SharePoint Server 远程代码执行漏洞

重要

Microsoft Office SharePoint

CVE-2022-30157

Microsoft SharePoint Server 远程代码执行漏洞

重要

Microsoft Windows ALPC

CVE-2022-30160

Windows 高级本地过程调用特权提升漏洞

重要

Microsoft Windows 编解码器库

CVE-2022-29119

HEVC 视频扩展远程代码执行漏洞

重要

Microsoft Windows 编解码器库

CVE-2022-30188

HEVC 视频扩展远程代码执行漏洞

重要

Microsoft Windows 编解码器库

CVE-2022-30167

AV1视频扩展远程代码执行漏洞

重要

Microsoft Windows 编解码器库

CVE-2022-30193

AV1视频扩展远程代码执行漏洞

重要

Microsoft Windows 编解码器库

CVE-2022-29111

HEVC 视频扩展远程代码执行漏洞

重要

Microsoft Windows 编解码器库

CVE-2022-22018

HEVC 视频扩展远程代码执行漏洞

重要

远程卷影复制服务 (RVSS)

CVE-2022-30154

Microsoft 文件服务器卷影复制代理服务 (RVSS) 特权提升漏洞

重要

角色:Windows Hyper-V

CVE-2022-30163

Windows Hyper-V 远程执行代码漏洞

严重

SQL 服务器

CVE-2022-29143

Microsoft SQL Server 远程代码执行漏洞

重要

WinSock 的 Windows 辅助功能驱动程序

CVE-2022-30151

WinSock 特权提升漏洞的 Windows  辅助功能驱动程序

重要

Windows 应用商店

CVE-2022-30168

Microsoft Photos App 远程代码执行漏洞

重要

Windows 自动驾驶仪

CVE-2022-30189

Windows Autopilot 设备管理和注册客户端欺骗漏洞

重要

Windows 容器隔离 FS 筛选器驱动程序

CVE-2022-30131

Windows 容器隔离 FS 过滤器驱动程序特权提升漏洞

重要

Windows 容器管理器服务

CVE-2022-30132

Windows Container Manager 服务特权提升漏洞

重要

Windows Defender

CVE-2022-30150

Windows Defender Remote Credential Guard 特权提升漏洞

重要

Windows 加密文件系统 (EFS)

CVE-2022-30145

Windows 加密文件系统 (EFS) 远程代码执行漏洞

重要

Windows 文件历史记录服务

CVE-2022-30142

Windows 文件历史记录远程执行代码漏洞

重要

Windows Installer

CVE-2022-30147

Windows Installer 特权提升漏洞

重要

Windows iSCSI

CVE-2022-30140

Windows iSCSI 发现服务远程代码执行漏洞

重要

Windows Kerberos

CVE-2022-30164

Kerberos AppContainer 安全功能绕过漏洞

重要

Windows Kerberos

CVE-2022-30165

Windows Kerberos 特权提升漏洞

重要

Windows Kernel

CVE-2022-30162

Windows 内核信息泄露漏洞

重要

Windows Kernel

CVE-2022-30155

Windows 内核拒绝服务漏洞

重要

Windows LDAP – 轻量级目录访问协议

CVE-2022-30143

Windows 轻量级目录访问协议
 (LDAP) 远程代码执行漏洞

重要

Windows LDAP – 轻量级目录访问协议

CVE-2022-30161

Windows 轻量级目录访问协议
 (LDAP) 远程代码执行漏洞

重要

Windows LDAP – 轻量级目录访问协议

CVE-2022-30141

Windows 轻量级目录访问协议
 (LDAP) 远程代码执行漏洞

重要

Windows LDAP – 轻量级目录访问协议

CVE-2022-30153

Windows 轻量级目录访问协议
 (LDAP) 远程代码执行漏洞

重要

Windows LDAP – 轻量级目录访问协议

CVE-2022-30139

Windows 轻量级目录访问协议
 (LDAP) 远程代码执行漏洞

严重

Windows LDAP – 轻量级目录访问协议

CVE-2022-30149

Windows 轻量级目录访问协议
 (LDAP) 远程代码执行漏洞

重要

Windows LDAP – 轻量级目录访问协议

CVE-2022-30146

Windows 轻量级目录访问协议
 (LDAP) 远程代码执行漏洞

重要

Windows 本地安全机构子系统服务

CVE-2022-30166

本地安全机构子系统服务提权漏洞

重要

Windows Media

CVE-2022-30135

Windows Media Center 特权提升漏洞

重要

Windows 网络地址转换 (NAT)

CVE-2022-30152

Windows 网络地址转换 (NAT) 拒绝服务漏洞

重要

Windows Network File System

CVE-2022-30136

Windows 网络文件系统远程代码执行漏洞

严重

Windows PowerShell

CVE-2022-30148

Windows 所需状态配置 (DSC) 信息泄露漏洞

重要

Windows SMB

CVE-2022-32230

Windows SMB 拒绝服务漏洞

重要

更多信息,可参考微软
2022

6
月安全更新发行说明:

https://msrc.microsoft.com/update-guide/releaseNote/2022-Jun

关于腾讯安全威胁情报中心

腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

长按二维码关注

腾讯安全威胁情报中心