微软本周进入2022年的最后一个Patch Tuesday,总计修补52个安全漏洞,其中有6个属于重大(Critical)漏洞,另有两个零时差漏洞,它们分别是仅被列为中等(Moderate)漏洞的CVE-2022-44698,与重要(Important)漏洞的CVE-2022-44710,前者已遭到黑客利用。
CVE-2022-44698漏洞允许黑客绕过可用来筛选网络钓渔网站的Windows SmartScreen安全功能。根据微软的说明,黑客得以创建一个可逃避Mark of the Web(MOTW)防御的恶意文件,损及诸如Protected View等Office安全功能的完整性及可用性。黑客可打造一个恶意网站,也能通过邮件及通讯程序传递恶意网站的连接,或是借由危害合法网站来利用CVE-2022-44698漏洞。
至于6个重大漏洞皆可导致远程程序攻击,涉及到Microsoft Dynamics、SharePoint Server、PowerShell与Windows Secure Socket Tunneling Protocol(SSTP)。其中涉及PowerShell的CVE-2022-41076允许一个认证用户绕过PowerShell的远程阶段配置,并于一个受影响的系统上执行未经批准的命令。
趋势Zero Day Initiative(ZDI)团队说明,黑客在突破系统的第一道防线之后,经常会利用系统上既有的工具来维持对系统的访问及移动能力,PowerShell即是这类的工具之一,因此若存在任何可绕过安全限制的漏洞都应尽快修补。
这次微软也修补一个位于Microsoft Outlook for Mac的安全漏洞CVE-2022-44713,它是个欺骗漏洞,允许黑客伪装成可靠的对象,并使得受害者误信邮件来自合法用户。
ZDI认为,黑客若以CVE-2022-44713搭配SmartScreen绕过漏洞(CVE-2022-44698)可能会让事情变得更棘手,倘若黑客伪装成用户的上司,并寄来一封含有恶意附件的文件,大多数人应该都会打开。