微软于本周二(11/8)的11月Patch Tuesday修补了超过60个安全漏洞,其中有6个已发现攻击行动,它们分别是出现在Microsoft Exchange Server中的CVE-2022-41040与CVE-2022-41082,与Windows脚本语言有关的CVE-2022-41128,涉及Windows Mark of the Web(MOTW)的CVE-2022-41091,以及藏匿在Windows CNG Key Isolation Service中的CVE-2022-41125,与Windows Print Spooler有关的CVE-2022-41073,前3项被微软列为重大(Critical)漏洞,其它仅被视为重要(Important)漏洞。
位于Microsoft Exchange Server的CVE-2022-41040为一权限扩张漏洞,趋势Zero Day Initiative(ZDI)团队表示,它们在9月就购得该漏洞并提报微软,随后即发现它被用来攻击,此外,ZDI建议微软用户本月最好一并修补所有与Exchange Server有关的漏洞。
另一个已遭攻击的Exchange Server漏洞为CVE-2022-41082,它是个远程执行漏洞,要成功利用该漏洞必须先经过身份认证,之后即可利用一个网络调用来触发恶意程序代码。
此次微软所修补的Exchange Server漏洞还包括同样被列为重大等级的CVE-2022-41080,以及另外3个重要等级的CVE-2022-41123、CVE-2022-41078与CVE-2022-41079。
至于CVE-2022-41091则是安全企业0patch日前曾发布非官方修补的安全漏洞,根据微软的说法,黑客得以打造一个恶意文件来躲过MOTW的防御,而让依赖MOTW的产品安全功能失效,例如Microsoft Office中的“受保护查看”(Protected View)。
除了这个已被利用的CVE-2022-41091之外,此次微软也修补了另一个MOTW漏洞CVE-2022-41049。
微软并未披露太多与脚本程序有关的CVE-2022-41128漏洞细节,仅说黑客可以诱导用户访问一个恶意网站或服务器,并能于受害系统上以用户权限执行程序。ZDI团队猜测该漏洞未来很可能会被黑客收录在攻击组件中。
Windows CNG Key Isolation Service可针对私密密钥与相关加密密钥的操作进行程序隔离,藏匿于其中的CVE-2022-41125是个权限扩张漏洞,成功的攻击将可取得系统权限以执行任何程序。