长按二维码关注
腾讯安全威胁情报中心
今天是微软2022年6月例行补丁日,微软修复了56个安全漏洞,最近被广泛跟踪报道的 Windows MSDT“Follina”0day漏洞(CVE-2022-30190)今天得以修复。
6月安全更新修复的 56 个漏洞中,有 3 个被归类为“严重”级,这些漏洞可导致远程代码执行,其余的被归类为“重要”级。
腾讯安全专家建议所有Windows用户尽快安装更新,避免遭遇黑客攻击利用。企业用户可通过腾讯iOA零信任安全管理系统安装补丁,个人用户推荐使用腾讯电脑管家或Windows安全更新修复。
具体漏洞性质分类如下:
12个提权漏洞
1个安全功能绕过漏洞
27个远程代码执行漏洞
11个信息泄露漏洞
3个拒绝服务漏洞
1个欺骗漏洞
本月漏洞修复包括以下产品、功能和角色:
.NET and Visual Studio
Azure OMI
Azure Real Time Operating System
Azure Service Fabric Container
Intel
Microsoft Edge (Chromium-based)
Microsoft Office
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft Windows ALPC
Microsoft Windows Codecs Library
Remote Volume Shadow Copy Service (RVSS)
Role: Windows Hyper-V
SQL Server
Windows Ancillary Function Driver for WinSock
Windows App Store
Windows Autopilot
Windows Container Isolation FS Filter Driver
Windows Container Manager Service
Windows Defender
Windows Encrypting File System (EFS)
Windows File History Service
Windows Installer
Windows iSCSI
Windows Kerberos
Windows Kernel
Windows LDAP - Lightweight Directory Access Protocol
Windows Local Security Authority Subsystem Service
Windows Media
Windows Network Address Translation (NAT)
Windows Network File System
Windows PowerShell
Windows SMB
须重点关注的安全漏洞:
1.微软 Windows 支持诊断工具 (MSDT) 远程执行代码漏洞
(又称“Follina”漏洞,编号CVE-2022-30190),CVSS评分:7.8
安全研究人员在国外社交媒体公开了一个Office 代码执行漏洞的在野利用、PoC和技术细节均被公开,攻击者可通过恶意Office文件中远程模板功能从服务器获取恶意HTML文件,通过 'ms-msdt' URI来执行恶意PowerShell代码。
该漏洞在宏被禁用的情况下,仍能通过MSDT(Microsoft Support Diagnostics Tool)功能执行代码,当恶意文件保存为RTF格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可在目标机器上执行任意代码。
5月31日,微软官方发布漏洞风险通告,将该漏洞确认为“微软 Windows 支持诊断工具 (MSDT) 远程执行代码漏洞“,漏洞CVSS评分7.8(高危)。
使用从应用程序(如 Word)的 URL 协议调用 MSDT 时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以使用被调用应用程序的权限运行任意代码。然后,攻击者可以在用户权限允许的上下文中安装程序、查看、更改或删除数据,或创建新帐户。
Follina 漏洞被披露后引发全球广泛关注,随后世界各地的安全研究人员发现该漏洞被专业APT组织和网络黑灰产业积极利用。腾讯安全5月31日已支持对利用该漏洞的攻击活动进行检测,该漏洞已于今日补丁更新修复。
参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
2.Windows Hyper-V 远程执行代码漏洞(CVE-2022-30163)
CVSS评分:8.5,严重级,官方评估:利用可能性小。
若要利用此漏洞,攻击者可以在 Hyper-V 来宾上运行经特殊设计的应用程序,从而导致 Hyper-V 主机操作系统执行任意代码。成功利用此漏洞,可以从低特权 Hyper-V 来宾执行成功的攻击。攻击者可以遍历来宾的安全边界,以便在 Hyper-V 主机执行环境中执行代码。
攻击复杂性很高,成功利用此漏洞需要攻击者赢得争用条件。
参考链接:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30163
3.Windows 轻型目录访问协议 (LDAP) 远程执行代码漏洞(CVE-2022-30139)
CVSS评分:7.5,严重级,官方评估利用可能性小。
该漏洞需要满足特殊条件才能被利用:仅当 MaxReceiveBuffer LDAP 策略设置为高于默认值的值时,此漏洞才可被利用。具有此策略默认值的系统不会受到攻击。
攻击复杂性很高 (AC:H),成功利用此漏洞需要攻击者准备目标环境。
参考链接:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30139
4.Windows 网络文件系统远程执行代码漏洞(CVE-2022-30136)
CVSS评分:9.8,严重级,官方评估“利用的可能性较大”。
通过对网络文件系统 (NFS) 服务进行未经身份验证的特制调用以触发远程执行代码 (RCE),可以通过网络利用此漏洞。
参考链接:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30136
以下是2022 年6月补丁日更新中已解决漏洞和已发布公告的完整列表:
标签 |
CVE ID |
CVE 标题 |
严重性 |
.NET 和 Visual Studio |
CVE-2022-30184 |
.NET 和 Visual Studio 信息泄露漏洞 |
重要 |
Azure OMI |
CVE-2022-29149 |
Azure 开放管理基础结构 (OMI) 特权提升漏洞 |
重要 |
Azure 实时操作系统 |
CVE-2022-30179 |
Azure RTOS GUIX Studio 远程代码执行漏洞 |
重要 |
Azure 实时操作系统 |
CVE-2022-30178 |
Azure RTOS GUIX Studio 远程代码执行漏洞 |
重要 |
Azure 实时操作系统 |
CVE-2022-30180 |
Azure RTOS GUIX Studio 信息泄露漏洞 |
重要 |
Azure 实时操作系统 |
CVE-2022-30177 |
Azure RTOS GUIX Studio 远程代码执行漏洞 |
重要 |
Azure Service Fabric 容器 |
CVE-2022-30137 |
Azure Service Fabric 容器特权提升漏洞 |
重要 |
英特尔 |
CVE-2022-21127 |
Intel:CVE-2022-21127 特殊寄存器缓冲区数据采样更新(SRBDS 更新) |
重要 |
英特尔 |
ADV220002 |
英特尔处理器 MMIO 陈旧数据漏洞的 Microsoft 指南 |
未知 |
英特尔 |
CVE-2022-21123 |
英特尔:CVE-2022-21123 共享缓冲区数据读取 (SBDR) |
重要 |
英特尔 |
CVE-2022-21125 |
英特尔:CVE-2022-21125 共享缓冲区数据采样 (SBDS) |
重要 |
英特尔 |
CVE-2022-21166 |
英特尔:CVE-2022-21166 设备寄存器部分写入 (DRPW) |
重要 |
Microsoft Edge(基于 Chromium) |
CVE-2022-2011 |
Chromium:CVE-2022-2011 在 ANGLE 中免费后使用 |
未知 |
Microsoft Edge(基于 Chromium) |
CVE-2022-2010 |
Chromium:CVE-2022-2010 合成中读取越界 |
未知 |
Microsoft Edge(基于 Chromium) |
CVE-2022-2008 |
Chromium:CVE-2022-2008 WebGL 中的内存访问越界 |
未知 |
Microsoft Edge(基于 Chromium) |
CVE-2022-2007 |
Chromium:CVE-2022-2007 在 WebGPU 中免费后使用 |
未知 |
Microsoft Edge(基于 Chromium) |
CVE-2022-22021 |
Microsoft Edge(基于 Chromium)远程代码执行漏洞 |
缓和 |
Microsoft Office |
CVE-2022-30159 |
Microsoft Office 信息泄露漏洞 |
重要 |
Microsoft Office |
CVE-2022-30171 |
Microsoft Office 信息泄露漏洞 |
重要 |
Microsoft Office |
CVE-2022-30172 |
Microsoft Office 信息泄露漏洞 |
重要 |
Microsoft Office |
CVE-2022-30174 |
Microsoft Office 远程代码执行漏洞 |
重要 |
Microsoft Office Excel |
CVE-2022-30173 |
Microsoft Excel 远程代码执行漏洞 |
重要 |
Microsoft Office SharePoint |
CVE-2022-30158 |
Microsoft SharePoint Server 远程代码执行漏洞 |
重要 |
Microsoft Office SharePoint |
CVE-2022-30157 |
Microsoft SharePoint Server 远程代码执行漏洞 |
重要 |
Microsoft Windows ALPC |
CVE-2022-30160 |
Windows 高级本地过程调用特权提升漏洞 |
重要 |
Microsoft Windows 编解码器库 |
CVE-2022-29119 |
HEVC 视频扩展远程代码执行漏洞 |
重要 |
Microsoft Windows 编解码器库 |
CVE-2022-30188 |
HEVC 视频扩展远程代码执行漏洞 |
重要 |
Microsoft Windows 编解码器库 |
CVE-2022-30167 |
AV1视频扩展远程代码执行漏洞 |
重要 |
Microsoft Windows 编解码器库 |
CVE-2022-30193 |
AV1视频扩展远程代码执行漏洞 |
重要 |
Microsoft Windows 编解码器库 |
CVE-2022-29111 |
HEVC 视频扩展远程代码执行漏洞 |
重要 |
Microsoft Windows 编解码器库 |
CVE-2022-22018 |
HEVC 视频扩展远程代码执行漏洞 |
重要 |
远程卷影复制服务 (RVSS) |
CVE-2022-30154 |
Microsoft 文件服务器卷影复制代理服务 (RVSS) 特权提升漏洞 |
重要 |
角色:Windows Hyper-V |
CVE-2022-30163 |
Windows Hyper-V 远程执行代码漏洞 |
严重 |
SQL 服务器 |
CVE-2022-29143 |
Microsoft SQL Server 远程代码执行漏洞 |
重要 |
WinSock 的 Windows 辅助功能驱动程序 |
CVE-2022-30151 |
WinSock 特权提升漏洞的 Windows 辅助功能驱动程序 |
重要 |
Windows 应用商店 |
CVE-2022-30168 |
Microsoft Photos App 远程代码执行漏洞 |
重要 |
Windows 自动驾驶仪 |
CVE-2022-30189 |
Windows Autopilot 设备管理和注册客户端欺骗漏洞 |
重要 |
Windows 容器隔离 FS 筛选器驱动程序 |
CVE-2022-30131 |
Windows 容器隔离 FS 过滤器驱动程序特权提升漏洞 |
重要 |
Windows 容器管理器服务 |
CVE-2022-30132 |
Windows Container Manager 服务特权提升漏洞 |
重要 |
Windows Defender |
CVE-2022-30150 |
Windows Defender Remote Credential Guard 特权提升漏洞 |
重要 |
Windows 加密文件系统 (EFS) |
CVE-2022-30145 |
Windows 加密文件系统 (EFS) 远程代码执行漏洞 |
重要 |
Windows 文件历史记录服务 |
CVE-2022-30142 |
Windows 文件历史记录远程执行代码漏洞 |
重要 |
Windows Installer |
CVE-2022-30147 |
Windows Installer 特权提升漏洞 |
重要 |
Windows iSCSI |
CVE-2022-30140 |
Windows iSCSI 发现服务远程代码执行漏洞 |
重要 |
Windows Kerberos |
CVE-2022-30164 |
Kerberos AppContainer 安全功能绕过漏洞 |
重要 |
Windows Kerberos |
CVE-2022-30165 |
Windows Kerberos 特权提升漏洞 |
重要 |
Windows Kernel |
CVE-2022-30162 |
Windows 内核信息泄露漏洞 |
重要 |
Windows Kernel |
CVE-2022-30155 |
Windows 内核拒绝服务漏洞 |
重要 |
Windows LDAP - 轻量级目录访问协议 |
CVE-2022-30143 |
Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞 |
重要 |
Windows LDAP - 轻量级目录访问协议 |
CVE-2022-30161 |
Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞 |
重要 |
Windows LDAP - 轻量级目录访问协议 |
CVE-2022-30141 |
Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞 |
重要 |
Windows LDAP - 轻量级目录访问协议 |
CVE-2022-30153 |
Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞 |
重要 |
Windows LDAP - 轻量级目录访问协议 |
CVE-2022-30139 |
Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞 |
严重 |
Windows LDAP - 轻量级目录访问协议 |
CVE-2022-30149 |
Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞 |
重要 |
Windows LDAP - 轻量级目录访问协议 |
CVE-2022-30146 |
Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞 |
重要 |
Windows 本地安全机构子系统服务 |
CVE-2022-30166 |
本地安全机构子系统服务提权漏洞 |
重要 |
Windows Media |
CVE-2022-30135 |
Windows Media Center 特权提升漏洞 |
重要 |
Windows 网络地址转换 (NAT) |
CVE-2022-30152 |
Windows 网络地址转换 (NAT) 拒绝服务漏洞 |
重要 |
Windows Network File System |
CVE-2022-30136 |
Windows 网络文件系统远程代码执行漏洞 |
严重 |
Windows PowerShell |
CVE-2022-30148 |
Windows 所需状态配置 (DSC) 信息泄露漏洞 |
重要 |
Windows SMB |
CVE-2022-32230 |
Windows SMB 拒绝服务漏洞 |
重要 |
更多信息,可参考微软2022年6月安全更新发行说明:
https://msrc.microsoft.com/update-guide/releaseNote/2022-Jun
关于腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按二维码关注
腾讯安全威胁情报中心
