尽快安装最新的Windows Update!发布6个主动利用零天的修补程序
微软最新一轮月度安全更新已发布,针对其软件组合中的68个漏洞进行了修复,其中包括6个主动利用的零日补丁。
其中12个问题被评为严重,2个问题被评定为严重,55个问题被评级为严重。这还包括前一周OpenSSL消除的弱点。
本月初,微软Edge还单独解决了基于Chromium的浏览器(CVE-2022-3723)中的一个漏洞,该漏洞在上个月底的带外更新中被谷歌插入。
Rapid7的产品经理Greg Wiseman在与《黑客新闻》分享的一份声明中表示:“重大消息是,9月底公开的两个影响Exchange Server的旧的零日CVE终于得到修复”。
“建议客户立即更新其Exchange Server系统,无论是否应用了以前建议的缓解措施。一旦修补了系统,就不再建议使用缓解规则”。
允许权限提升和远程代码执行的主动利用漏洞列表如下:
- CVE-2022-41040号(CVSS评分:8.8)-Microsoft Exchange Server权限提升漏洞(又名ProxyNotShell)
- 电子邮箱2022-41082(CVSS评分:8.8)-Microsoft Exchange Server权限提升漏洞(又名ProxyNotShell)
- 电子邮箱2022-41128(CVSS评分:8.8)-Windows脚本语言远程代码执行漏洞
- 电子邮箱2022-41125(CVSS评分:7.8)-Windows CNG密钥隔离服务特权漏洞提升
- 电子邮箱2022-41073(CVSS评分:7.8)-Windows打印后台处理程序权限提升漏洞
- CVE-2022-41091(CVSS评分:5.4)-Windows标记的Web安全功能绕过漏洞
谷歌威胁分析小组(TAG)的贝努瓦特·塞文斯(Benoît Sevens)和克莱蒙·莱奇涅(Clément Lecigne)被认为报告了CVE-2022-41128,该报告存在于JScript9组件中,当目标被诱骗访问特制网站时发生。
CVE-2022-41091是过去几个月曝光的Windows Mark of the Web(MoTW)中两个绕过安全漏洞之一。最近,Magniber勒索软件公司发现该软件已被武器化,以假软件更新为目标用户。
微软在一份咨询意见中表示:“攻击者可以制作一个恶意文件,以逃避网络标记(MotW)防御,从而导致安全功能(如Microsoft Office中的受保护视图)的完整性和可用性的有限损失”。
要解决的第二个MotW缺陷是CVE-2022-41049(又名ZippyReads)。据安理更斯安全研究人员威尔·多曼(Will Dormann)报道,这与在提取的存档文件中设置Web标记失败有关。
沉浸式实验室网络威胁研究主管Kev Breen表示,Print Spooler和CNG Key Isolation Service中的两个特权升级漏洞很可能被威胁行为人滥用,作为最初妥协的后续措施,并获得系统特权。
Breen补充道:“在使用Mimikatz等工具进行凭证攻击之前,需要使用更高级别的访问来禁用或篡改安全监控工具,这些工具可以允许攻击者在网络中横向移动”。
11月补丁中值得指出的其他四个关键级别漏洞是Windows Kerberos(CVE-2022-37967)、Kerberos RC4-HMAC(CVE-2032-37966)和Microsoft Exchange Server(CVE-2042-41080)中的权限提升漏洞,以及影响Windows Hyper-V的拒绝服务漏洞(CVE-2052-38015)。
关键缺陷的修复列表被点对点隧道协议(PPTP)中的四个远程代码执行漏洞(CVE-2022-41039、CVE-2021-41088和CVE-2022-4 1044)以及另一个影响Windows脚本语言JScript9和Chakra(CVE-2042-41118)的漏洞所终结。
除了这些问题之外,周二补丁更新还解决了Microsoft Excel、Word、ODBC驱动程序、Office Graphics、SharePoint Server和Visual Studio中的一些远程代码执行缺陷,以及Win32k、覆盖筛选器和组策略中的一些权限升级错误。
其他供应商提供的软件修补程序
除了微软,自本月初以来,其他供应商也发布了安全更新,以修复几个漏洞,包括:
- AMD公司
- 安卓
- 苹果
- 思科
- 思杰公司
- CODESYS公司
- 戴尔
- 第5页
- 飞塔
- GitLab公司
- 谷歌浏览器
- 惠普
- 国际商用机器公司
- 英特尔
- Juniper网络
- 联想
- Linux发行版Debian、Oracle Linux、Red Hat、SUSE和Ubuntu
- 联发科技
- NVIDIA公司
- 高通公司
- 活力
- 施耐德电气
- 西门子
- 趋势Micro
- VMware,以及
- WordPress
