• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

微软0 day蠕虫漏洞引起关注


Recommended Posts

微软在2022年4月的月度计划更新中发布了128个安全漏洞的补丁,其中10个被评为高风险(包括3个无需用户交互即可被利用的蠕虫状代码执行漏洞)。

还有两个高危0 day漏洞,攻击者可以在本地认领权力,其中一个可以被主动利用。

这些漏洞出现在整个产品生态系统中,包括微软Windows和Windows组件、微软防御系统和端点防御系统、微软动态、微软Edge(基于Chromium)、Exchange server、Office和Office组件、SharePoint server、Windows Hyper-V、DNS server、Skype for Business、NET和Visual Studio、Windows应用商店和Windows打印后台处理程序组件。

在一篇博客中,Trend 0 day计划的研究人员表示,自2020年秋季以来,还没有见过如此大的补丁。然而,这次的漏洞数量与我们去年第一季度看到的非常相似。

0 day修补程序

在打补丁之前,这个编号为CVE-2022-24521的漏洞允许攻击者声称拥有权力。它在CVSS脆弱性严重程度上的得分是7.8(满分10)。它也被列为Windows通用日志文件系统驱动程序执行漏洞,并由美国国家安全局报告给微软。

安全人员指出,目前还不清楚这个漏洞在野外的影响范围有多广。在这一点上,这个漏洞很可能是有针对性的,这个漏洞还没有被广泛使用。

研究人员指出,攻击者在攻击活动中很可能将这一漏洞与另一个代码执行漏洞结合在一起。出于这个原因,沉浸式实验室的网络威胁研究员将这个被严重利用的漏洞放在需要修补的系统列表的首位。

他解释说,作为一个允许权限提升的漏洞,这表明威胁攻击者目前正在使用它来实现横向移动。

第二个0 day漏洞是在Windows用户配置文件服务中发现的,跟踪号为CVE-2022-26904。

虽然被认为更容易被利用,但其攻击复杂度非常高。微软在其公告中指出,成功利用该漏洞需要攻击者使用另一个竞争条件。

即便如此,Tripwire研究人员指出,Metasploit框架中包含的漏洞利用代码是可用的。

4月份需要关注的漏洞

在所有允许远程代码执行的漏洞(RCE)中,研究人员将一个可能允许自我传播的漏洞(CVE-2022-26809)列为最值得注意的漏洞。

它存在于远程过程调用(RPC)的运行时库中,CVSS评分为9.8分(满分10分),指出该漏洞更容易被利用。如果利用此漏洞,远程攻击者可以以高权限执行代码。

Virsec首席架构师指出,该漏洞是在微软的SMB函数中发现的,该函数主要用于文件共享和进程间通信,包括远程过程调用。RPC是一种通信机制,它允许一个程序向网络(Internet和/或内部网络)上的另一个程序请求服务或功能。RPC可用于存储复制或管理共享卷功能。

他通过电子邮件表示,这个漏洞是攻击者利用合法功能进行攻击的又一个例子。利用此漏洞,攻击者可以创建特制的RPC,并使用与RPC服务相同的权限在远程服务器上执行代码。

根据Childs的说法,该漏洞可用于执行一些高度有害的攻击。

查尔兹指出,由于该漏洞不需要与用户进行交互,结合这些因素,它可以成为那些可以使用RPC的机器之间的蠕虫。

微软建议及时配置防火墙规则,防止该漏洞被利用。

查尔兹警告说,然而,这个漏洞可以被攻击者用来水平移动,因此我们必须迅速测试和部署安全措施。

接下来是CVE-2022-24491/24497,这是影响Windows网络文件系统(NFS)的RCE漏洞。两者的CVSS分数都是9.8,它们被列为更有可能被利用的漏洞。查尔兹警告说,他们也可能有潜在的蠕虫样的剥削。Childs解释说,在启用了NFS角色的系统上,远程攻击者可以在受影响的系统上以高权限执行代码,而无需用户交互。同样,这是NFS服务器之间的蠕虫状漏洞。类似于RPC,这通常在网络周围被阻止。

Immersive公司的布林补充说,这些都是可能吸引勒索软件攻击者的漏洞,因为它们有很大的可能性泄露用户的关键数据。安全团队还必须注意,NFS角色不是Windows设备的默认配置。

其余的主要漏洞如下:

CVE 2022-23259 .微软动态365(企业内部)(CVSS 8.8)

CVE .Windows Hyper-V (CVSS 7.7)

CVE-2022-23257: Windows Hyper-V(CVSS 8.6版)

CVE-2022-24537: Windows Hyper-V(CVSS 7.7)

CVE-2022-26919: Windows LDAP (CVSS 8.1)

CVE-2022-24541: Windows服务器 (CVSS 8.8)

CVE-2022-24500: Windows SMB (CVSS 8.8)

其他需要注意的漏洞

值得一提的是,在Windows域名服务器(DNS)中发现的高达18个漏洞中,有一个(CVE-2022-26815)允许RCE,并被列为高危漏洞,CVSS评分为7.2。

微软指出,虽然这种攻击的复杂性很低,攻击者或目标用户需要特定的高权限才能够成功利用。为了安全起见,企业应该对管理组定期进行验证和审计。

同时,这里有几个重要的缓解措施需要指出。第一个是,服务器只有启用了动态更新,才会受到这个漏洞的影响。CVSS还列出了一些利用漏洞的条件。尽管如此,攻击者在DNS服务器上获得RCE的机会太多了,所以应该让你的DNS服务器打上补丁。

Link to comment
Share on other sites