微软于周二(7/12)展开的Patch Tuesday总计修补了84个安全漏洞,其中只有4个被列为重大(Critical)漏洞,允许远程程序执行,另有一个已被黑客开采的零时差漏洞CVE-2022-22047。
CVE-2022-22047漏洞位于客户端/服务器端执行时子系统(Client/Server Runtime Subsystem,CSRSS),为一权限扩张漏洞,成功开采将允许黑客取得系统(SYSTEM)权限,并已遭黑客开采。虽然CVE-2022-22047仅被列为重要(Important)漏洞,但安全专家仍建议微软用户应优先修补。
趋势科技旗下的Zero Day Initiative(ZDI)团队指出,CVE-2022-22047通常会搭配程序执行漏洞使用,诸如借由特定的Office或Adobe文件来接管受害者系统,这也是为什么许多人听到微软延后封锁所有Office宏的消息,会感到心灰意冷。
其实本月微软还修补了其它两个Windows CSRSS的安全漏洞,分别是CVE-2022-22026与CVE-2022-22049,也皆属重要漏洞。
至于4个重大漏洞中,CVSS风险评分达8.8的是CVE-2022-30221,它藏匿在Windows图形组件中,黑客只要说服用户连向一个恶意的RDP(远程桌面协议)服务器,就能开采该漏洞并于受害系统上执行程序。
CVE-2022-22038则出现在远程程序调用执行(Remote Procedure Call Runtime),虽然它是个远程程序执行漏洞,但相关攻击较为复杂,黑客必须持续或间接发送资料,不断地测试才能成功开采,CVSS风险评分为8.1。
CVE-2022-22029为Windows网络文件系统(Network File System,NFS)的远程程序执行漏洞,完全不需要用户的交互就能展开攻击,但只要采用默认的配置或设置,便可减轻遭到开采的严重性。CVE-2022-22039也为NFS漏洞,黑客只要通过网络向NFS执行一个未经授权的特定调用,就能触发远程程序执行漏洞。
除了上述的重大漏洞与零时差攻击漏洞之外,ZDI团队点名了CVE-2022-30216,这是Windows Server Service的篡改漏洞,该漏洞允许一个已经授权的黑客上传恶意凭证,代表黑客得以上传自己的凭证以从事各种活动,包含程序执行,尽管这只是个重要漏洞,但微软认为它很可能被开采,也让ZDI建议用户应尽快测试及部署其修补程序。
