最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

微软修复了可能被不法分子广泛利用的 Windows 安全漏洞

网络安全 快米云 来源:ZZQIDQ 142浏览

另外:TCP/IP 堆栈中令人讨厌的无身份验证 RCE、Adobe 缺陷和更多更新

补丁星期二9 月的补丁星期二就在这里,它带来了微软对一个安全漏洞的修复,该漏洞被不法分子用来完全接管 Windows 系统,以及第二个漏洞的详细信息,虽然尚未受到攻击,但已经公开披露。

目前,Redmond 总共修补或解决了 62 个安全漏洞。这批包括五个“关键”远程代码执行(RCE)漏洞,微软将其余的列为“重要”。

该漏洞已被广泛利用,编号为CVE-2022-37969,位于 Windows 的通用日志文件系统中,其 CVSS 评分为 7.8 分(满分 10 分),因此微软认为这很“重要”。此特权提升漏洞的利用代码也是公开的。

经过身份验证的用户或已经在机器上运行的恶意软件可以利用此漏洞执行代码并将权限一直提升到系统级别,从而使他们能够完全接管机器。好消息是攻击者必须已经有权访问系统才能利用此漏洞,因此它的评级较低,尽管它正在受到攻击并且需要修复。

“如果攻击者在目标系统上还没有这种能力,这种技术不允许远程执行代码,”这家软件巨头指出。

然而,正如我们所见,让用户点击恶意链接或打开带有恶意软件的文件并不难。“一旦他们这样做了,额外的代码就会以提升的权限执行以接管系统,”零日倡议的 Dustin Childs警告说,该漏洞如何被用来控制系统。

此外,虽然我们通常不会从微软的每月补丁活动中获得太多(如果有的话)攻击范围的详细信息,但在这种情况下,雷德蒙德认为来自不同组织的多名安全研究人员报告了该漏洞。这包括与 DBAPPSecurity 合作的 Quan Jin、与 Mandiant、CrowdStrike 和 Zscaler 的 ThreatLabz 合作的 Genwei Jiang。

“鉴于四家不同的网络安全公司向 Microsoft 报告了这个漏洞,它很可能在野外被广泛利用——特别是 APT 组织和恶意软件作者——以获得更高的特权,”漏洞和主管 Bharat Jogi Qualys 的威胁研究告诉The Register。 

幽灵回来了

另一个具有公开可用漏洞利用代码的漏洞(跟踪为CVE-2022-23960)是 Arm 处理器中的数据泄漏推测执行侧通道漏洞,称为 Spectre-BHB。它是较早的 Spectre v2 漏洞的变体,恶意软件可以利用该漏洞从内存中窃取数据,否则这些数据是不受限制的。

VU Amsterdam 的学者在3 月发现了这个错误,今天微软将人们引导到 Arm Developer Spectre-BHB 资源页面,以获取有关如何处理 CVE-2022-23960 以及提供 Windows 11 更新的更多信息。

“这类漏洞给试图缓解的组织带来了很大的麻烦,因为它们通常需要更新操作系统、固件,在某些情况下,还需要重新编译应用程序和加固,”Jogi 说。“如果攻击者成功利用此类漏洞,他们就可以访问敏感信息。”

在本月的 patchapalooza 中的五个关键 RCE 漏洞中,CVE-2022-34718是一个获得 9.8 CVSS 分数的 Windows TCP/IP 漏洞,在接下来要修复什么方面值得高度重视。 

微软将其标记为“更有可能被利用”,这并不好,因为它可能允许远程、未经身份验证的攻击者在不需要任何用户交互的情况下运行代码。 

“然而,只有启用了 IPv6 并配置了 IPSec 的系统易受攻击,”Childs 指出。“虽然对某些人来说是个好消息,但如果您使用的是 IPv6(和许多人一样),您可能也在运行 IPSec。一定要快速测试和部署此更新。”

请提供支持信息

说到被标记为“更有可能被利用”的 CVE,这里有一个 Redmond 的愿望清单:让组织更详细地了解这些错误以及如何缓解它们如何?

正如 Immersive Labs 网络威胁研究主管 Kev Breen 指出的那样,本月有五个 CVE 被列为“更有可能被利用”,但微软没有提供“支持信息”来支持这一点。

“鼓励补丁很重要,”他告诉The Register。“与此同时,拥有关键服务的大型组织并不总是能够大规模快速部署补丁,尤其是任何可能对关键业务运营带来风险的补丁。

“由于缺乏细节或缓解选项,安全团队面临的挑战是增加对关键资产的保护性监控或分离,直到可以部署补丁。”

回到其他严重漏洞:Microsoft 修补了 Windows Internet 密钥交换 (IKE) 协议中的另外两个 RCE 漏洞,这些漏洞似乎与 CVE-2022-34718 相关。这对 CVE-2022-34721CVE-2022-34722也只影响运行 IPSec 的服务。

今天修复的最后两个关键 RCE 漏洞CVE-2022-34700CVE-2022-35805在 Microsoft Dynamics CRM 的本地版本中插入漏洞。

Adobe 修复了 63 个漏洞

Adobe 修补了其在 Windows 和 macOS 机器上运行的七种产品的 63 个漏洞,并指出它不知道其中任何一个被广泛利用。但是,软件提供商将其中 35 个漏洞评为严重漏洞,因此最好在 Exploit Wednesday 之前立即修补。 

Bridge的 12 个修复中有 10 个被认为是关键的。其中包括越界读取、越界写入、释放后使用和基于堆的缓冲区溢出漏洞,这些漏洞可能导致任意代码执行。同时,两个“重要的”use-after-free 错误可能导致内存泄漏。

虽然它们都没有达到严重的严重等级,但Bridge中的 11 个重要漏洞也可能导致任意代码执行和安全功能绕过。

InDesign的 9 月补丁修复了 8 个严重错误和 10 个标记为重要错误的漏洞。据该软件制造商称,成功利用这些漏洞可能导致任意代码执行、任意文件系统读取和内存泄漏。

在 Windows 和 macOS 机器上运行的Photoshop安全更新修复了九个关键和一个重要漏洞,这些漏洞还可能导致任意代码执行和内存泄漏。

最后, InCopy中的七个 CVE(五个关键和两个重要)、Animate中的两个严重漏洞和Illustrator中的三个(一个严重,两个重要)可能允许攻击者执行恶意代码并导致内存泄漏。 

SAP 发布 6 个“高优先级”修复

SAP 还添加了16 个新的和更新的补丁,包括 1 个 HotNews Note 和 6 个高优先级注释。 

Onapsis 的 SAP 安全研究员 Thomas Fritsch 表示,安全说明#3223392是三个新的高优先级修复程序中最关键的一个。它在 SAP Business One 中插入了一个未引用的服务路径漏洞,该漏洞获得了 7.8 的 CVSS 分数。

“当易受攻击的服务启动时,可以利用未引用的服务路径漏洞来执行任意二进制文件,这可能允许它将权限提升到 SYSTEM,”他解释说

另一个高优先级注释#3217303获得了 7.7 的严重等级,修复了 BusinessObject 中的信息泄露错误。“在某些情况下,该漏洞允许攻击者访问 SAP BusinessObjects 商业智能平台中央管理控制台中未加密的敏感信息,”Fritsch 说。

此外,更新的高优先级说明#2998510修复了获得 7.8 CVSS 分数的同一类型的漏洞。该更新阐明了受影响的操作系统和其他利用的先决条件。  

不要忘记您的 Android 操作系统

最后,谷歌 9 月的 Android 安全更新解决了46 个 CVE。一,影响高通闭源组件,被认为是至关重要的。同时,44 个为高严重性漏洞,1 个为中度漏洞。

虽然谷歌没有在其每月的 Android 公告中发布有关特定错误的信息,但它确实指出“这些问题中最严重的是框架组件中的一个高安全漏洞,它可能导致本地权限升级而无需额外的执行权限。 “

考虑到这个 Android 漏洞严重到足以让 Internet 安全中心介入,我们建议尽快修补您的 Android 设备操作系统。

“根据与被利用组件相关的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全权限的新帐户,”该公告指出

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软修复了可能被不法分子广泛利用的 Windows 安全漏洞