0x01 漏洞简述
2022年05月10日,微软发布了2022年5月份安全更新,漏洞等级:严重,漏洞评分:10.0。
此次安全更新发布了75个漏洞的补丁,主要覆盖了以下组件:Visual Studio、Microsoft Exchange Server、Microsoft Office、Windows Active Directory、Remote Desktop Client、Windows Kernel、Windows Server Service等。其中包含8个严重漏洞,66个高危漏洞,1个低危漏洞。这些漏洞中包含3个公开披露的0day漏洞,其中1个正在被积极利用。
对此,360CERT建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该漏洞的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 严重 |
| 影响面 | 广泛 |
| 攻击者价值 | 高 |
| 利用难度 | 低 |
| 360CERT评分 | 10.0 |
0x03 漏洞详情
部分重点漏洞如下所示,更多漏洞信息可从参考链接的官方通告获取。
CVE-2022-26925:Windows LSA 欺骗漏洞
CVE: CVE-2022-26925
组件: LSA(Local Security Authority)
漏洞类型: 中间人攻击
影响: 窃取/修改敏感数据
简述: 未经身份验证的攻击者可以调用 LSARPC 接口上的方法并强制域控制器使用 NTLM 对攻击者进行身份验证。
CVE-2022-26923:Active Directory 域服务特权提升漏洞
CVE: CVE-2022-26923
组件: Active Directory
漏洞类型: 特权提升
影响: 服务器接管
简述: 通过在证书请求中包含精心制作的数据,攻击者可以获得允许攻击者对具有高级权限的域控制器进行身份验证的证书。如果 Active Directory 证书服务在域上运行,则任何经过域身份验证的用户都可以成为域管理员。
CVE-2022-26937:Windows 网络文件系统远程代码执行漏洞
CVE: CVE-2022-26937
组件: Windows Network File System
漏洞类型: 代码执行
影响: 代码执行
简述: 该漏洞可能允许远程、未经身份验证的攻击者在受影响系统上的网络文件系统 (NFS) 服务上下文中执行代码。
CVE-2022-29972 – Insight 软件:Magnitude Simba Amazon Redshift ODBC 驱动程序命令执行漏洞
CVE: CVE-2022-29972
组件: Insight Software
漏洞类型: 命令执行
影响: 命令执行
简述: 该漏洞存在于用于连接 Amazon Redshift 的第三方 ODBC 数据连接器、Azure Synapse Pipelines 中的集成运行时 (IR) 和 Azure 数据工厂中,并且可能允许攻击者跨集成运行时执行远程命令。
0x04 影响版本
– .NET and Visual Studio
– Microsoft Exchange Server
– Microsoft Graphics Component
– Microsoft Local Security Authority Server (lsasrv)
– Microsoft Office
– Microsoft Office Excel
– Microsoft Office SharePoint
– Microsoft Windows ALPC
– Remote Desktop Client
– Role: Windows Fax Service
– Role: Windows Hyper-V
– Self-hosted Integration Runtime
– Tablet Windows User Interface
– Visual Studio
– Visual Studio Code
– Windows Active Directory
– Windows Address Book
– Windows Authentication Methods
– Windows BitLocker
– Windows Cluster Shared Volume (CSV)
– Windows Failover Cluster Automation Server
– Windows Kerberos
– Windows Kernel
– Windows LDAP – Lightweight Directory Access Protocol
– Windows Media
– Windows Network File System
– Windows NTFS
– Windows Point-to-Point Tunneling Protocol
– Windows Print Spooler Components
– Windows Push Notifications
– Windows Remote Access Connection Manager
– Windows Remote Desktop
– Windows Remote Procedure Call Runtime
– Windows Server Service
– Windows Storage Spaces Controller
– Windows WLAN Auto Config Service
0x05 修复建议
通用修补建议
360CERT建议通过安装360安全卫士进行一键更新。
应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。
Windows server / Windows 检测并开启Windows自动更新流程如下:
– 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
– 点击控制面板页面中的“系统和安全”,进入设置。
– 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
– 然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)。
临时修补建议
通过如下链接寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。
0x06 产品侧解决方案
若想了解更多产品信息或有相关业务需求,可移步至http://360.net。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。
360安全卫士
Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。
360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
360安全卫士团队版
用户可以通过安装360安全卫士并进行全盘杀毒来维护计算机安全。360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
360本地安全大脑
360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。
0x07 时间线
2022-05-10 微软官方发布通告
2022-05-11 360CERT发布通告