Microsoft 发布 2022 年 6 月安全更新(含多个高危漏洞补丁)
一、预警背景描述
2022 年 6 月 14 日,微软发布了 2022 年 6 月份安全更新,修补了 56 个安全漏洞。
二、预警描述
本次更新主要涵盖 Windows 11、Windows Server 2022、Windows10 21H2、Windows 10 21H1、Windows 10 20H2 & Windows Serverv20H2、Windows Server 2012、Windows RT 8.1 和 MicrosoftOffice-related software 等多个组件。
其中部分重要漏洞描述如下:
1 、 Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞( CVE- - 2022- - 30190 )Microsoft 支持诊断工具是内置于 Windows 操作系统中的诊断和故障排除工具。攻击者可以通过构造带有恶意链接的 Office 文档发送给用户,诱导用户打开该文档时,则会触发该漏洞,需要注意的是,如果在资源管理器中开启了预览选项,无需用户打开恶意文档,仅预览 RTF 格式的恶意文档就会触发该漏洞。目前该漏洞 PoC 及技术细节已被披露,且已发现在野利用的情况。
2、 Windows Network File System 远程代码执行漏洞( CVE- - 2022- -30136 )Windows Network File System 是 Windows 网络文件系统。Windows Network File System 存在远程代码执行漏洞,由于对Windows Network File System 中用户提供的输入的验证存在缺陷,未经身份验证的远程攻击者可利用该漏洞向目标系统发送特制的NFS 请求,最终导致在目标系统上任意执行代码,且无需用户交互。
3 、 Windows Installer 权限提升漏洞( CVE- - 2022- - 30147 )微软 Windows Installer 作为 Win2K/WinXP/WinVista 的组件之一,是专门用来管理和配置软件服务的工具。Windows Installer存在权限提升漏洞,由于 Windows Installer 中的应用程序未实行正确的安全限制,具有低权限的本地攻击者通过利用该漏洞绕过安全限制,从而在目标系统上提升至 SYSTEM 权限,且无需用户交互。
4 、 Windows Advanced Local Procedure Call 权限提升漏洞( CVE- -2022- - 30160 )Advanced Local Procedure Call(ALPC)是 Windows 的 IPC机制能让使用者在执行数个应用程式的时候,还可以互相交换资料,同一个 OS 的用户端程序可以要求伺服器程序提供资讯或执行某个作业。Windows Advanced Local Procedure Call 存在权限提升漏洞,由于 Windows Advanced Local Procedure Call 中的应用程序未实行正确的安全限制,具有低权限的本地攻击者通过利用该漏洞绕过安全限制,从而在目标系统上提升至 SYSTEM 权限,且无需用户交互。
5 、 Windows Kerberos 权限提升漏洞( CVE- - 2022- - 30165 )Windows Kerberos 为网络用户提供了一种安全的身份验证手段,是最流行的身份验证机制之一。Windows Kerberos 存在权限提升漏洞,当网络通过 CredSSP 建立远程凭据保护连接时,经过身份验证的远程攻击者可以利用此漏洞进行权限提升,之后欺骗 Kerberos 进行登录。
6 、 Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞( CVE- -2022- - 30161 )LDAP 是实现提供被称为目录服务的信息服务。Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞,未经身份验证的远程攻击者可以通过诱导用户将轻量级目录访问协议 (LDAP) 客户端与恶意LDAP 服务器相连接,最终导致恶意服务器在 LDAP 客户端中任意执行代码。
7 、 Windows Hyper- - V 远程代码执行漏洞( CVE- - 2022- - 30163 )Windows Hyper-V 是 Microsoft 的本地虚拟机管理程序。具有低权限的远程攻击者可通过在 Hyper-V guest 上运行特制的应用程序,最终导致在 Hyper-V 主机系统执行任意代码。
8 、 Microsoft SharePoint Server 远程代码执行漏洞( CVE- - 2022- -30157 )Microsoft SharePoint Server 是一项用于 SharePoint 网站的基础技术,它可以免费获取。Microsoft SharePoint Server 存在远程代码执行漏洞,经过身份验证的攻击者通过使用特制的代码创建站点,成功利用漏洞可导致在目标服务器上远程执行代码。在此过程中,攻击者还需要具有在易受攻击的 SharePoint 服务器上创建页面的权限。
漏洞危害
利用上述漏洞,攻击者可进行欺骗,绕过安全功能限制,获取敏感信息,提升权限,执行远程代码,或发起拒绝服务攻击等。
三、受影响范围
.NET and Visual Studio
Azure OMI
Azure Real Time Operating System
Azure Service Fabric Container
Intel
Microsoft Edge (Chromium-based)
Microsoft Office
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft Windows ALPC
Microsoft Windows Codecs Library
Remote Volume Shadow Copy Service (RVSS)
Role: Windows Hyper-V
SQL Server
Windows Ancillary Function Driver for WinSock
Windows App Store
Windows Autopilot
Windows Container Isolation FS Filter Driver
Windows Container Manager Service
Windows Defender
Windows Encrypting File System (EFS)
Windows File History Service
Windows Installer
Windows iSCSI
Windows Kerberos
Windows Kernel
Windows LDAP - Lightweight Directory Access Protocol
Windows Local Security Authority Subsystem Service
Windows Media
Windows Network Address Translation (NAT)
Windows Network File System
Windows PowerShell
Windows SMB
四、修复建议
目前,微软官方已经发布补丁修复了上述漏洞,建议相关用户及时确认漏洞影响,尽快采取修补措施,避免引发漏洞相关的网络安全事 件 。