长按二维码关注
腾讯安全威胁情报中心
4月13日(北京时间)是微软 2022 年 4 月补丁日,微软修复了两个已披露的0day和总共 119 个漏洞(不包括 26 个 Microsoft Edge 漏洞),其中 10 个被归类为严重,这些漏洞允许远程执行代码。
腾讯安全专家建议用户尽快通过Windows 安全更新或腾讯电脑管家、腾讯iOA零信任安全管理系统升级安装,以防御黑客可能发起的漏洞攻击。
按漏洞性质分类,包括:
47个权限提升漏洞
47个远程代码执行漏洞
13个信息泄露漏洞
9个拒绝服务漏洞
3个欺骗漏洞
26 Edge - Chromium 漏洞
今天发布的安全公告包含以下产品、功能和角色的安全更新:
.NET Framework
Active Directory 域服务
Azure SDK
Azure Site Recovery
LDAP - 轻量级目录访问协议
Microsoft 蓝牙驱动程序
Microsoft Dynamics
Microsoft Edge(基于 Chromium)
Microsoft Graphics Component
Microsoft 本地安全认证服务器 (lsasrv)
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft Windows ALPC
Microsoft Windows 编解码器库
Microsoft Windows Media Foundation
Power BI
角色:DNS 服务器
角色:Windows Hyper-V
Skype for Business
Visual Studio
Visual Studio Code
WinSock 的 Windows 辅助功能驱动程序
Windows 应用商店
Windows AppX 软件包管理器
Windows 群集客户端故障转移
Windows 群集共享卷 (CSV)
Windows 通用日志文件系统驱动程序
Windows Defender
Microsoft DWM 核心库
Windows 端点配置管理器
Windows 传真撰写表单
Windows Feedback Hub
Windows 文件资源管理器
Windows 文件服务器
Windows 安装程序
Windows iSCSI 目标服务
Windows Kerberos
Windows Kernel
Windows 本地安全认证子系统服务
Windows Media
Windows 网络文件系统
Windows PowerShell
Windows 打印后台处理程序组件
Windows RDP
Windows 远程过程调用运行时
Windows 频道
Windows SMB
Windows 电话服务器
Windows 升级助手
Windows 用户配置文件服务
Windows Win32K
Windows 工作文件夹服务
YARP reverse proxy
今天修复的被积极利用的0day是安全研究员Abdelhamid Naceri发现的, 微软此前曾在发现新的补丁绕过后尝试修复过两次。
CVE-2022-26904 - Windows 用户配置文件服务特权提升漏洞
该漏洞已被公开披露,微软评估为:更有可能被利用,漏洞利用的复杂性被标记为高,成功利用此漏洞需要攻击者赢得竞争条件。
参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26904
另一个公开暴露的零日漏洞是由 CrowdStrike 和美国国家安全局 (NSA) 发现的特权提升漏洞。
CVE-2022-24521 - Windows 通用日志文件系统驱动程序特权提升漏洞
该漏洞已检测到在野利用,公告没有披露更多细节。
参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24521
四月安全公告中值得重点关注的其他漏洞包括:
CVE-2022-24474 - Windows Win32k 特权提升漏洞
高危,严重级,CVSS评分,7.8分,官方评估为“更有可能被利用”
参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24474
CVE-2022-24542 - Windows Win32k 特权提升漏洞
高危,严重级,CVSS评分,7.8分,官方评估为“更有可能被利用”
参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24542
CVE-2022-24491 - Windows 网络文件系统远程代码执行漏洞
只有启用了 NFS 角色的系统才会受此漏洞攻击。攻击者可以向易受攻击的 Windows 计算机发送精心编制的 NFS 协议网络消息,从而启用远程执行代码。
高危,严重级,CVSS评分9.8。官方评估为“更有可能被利用”。
参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24491
CVE-2022-24497 - Windows 网络文件系统远程代码执行漏洞
暂无漏洞评分,官方评估为“更有可能被利用”。
只有启用了 NFS 角色的系统才会受此漏洞攻击。攻击者可以向易受攻击的 Windows 计算机发送精心编制的 NFS 协议网络消息,从而启用远程执行代码。
参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24497
CVE-2022-26919 - Windows LDAP 远程代码执行漏洞
高危,严重级,CVSS评分8.1,官方评估为“不太可能利用”。
成功利用此漏洞需要攻击者在利用之前采取额外的行动来准备目标环境。在域中经过身份验证的标准用户可能会利用此漏洞在 LDAP 服务器上远程执行任意代码。
要想利用此漏洞,管理员必须增加默认的 MaxReceiveBuffer LDAP 设置。如果不修改 MaxReceiveBuffer 的默认设置,将不会触发此漏洞。
参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26919
CVE-2022-24500 - Windows SMB 远程执行代码漏洞
高危,严重级,CVSS评分8.8,官方评估为“不太可能利用”。
要利用此漏洞,用户需要访问恶意 SMB 服务器,作为 OS API 调用的一部分检索某些数据。
此漏洞需要使用受影响的 Windows 版本的用户访问恶意服务器。攻击者必须拥有特殊制作的服务器共享或网站。虽然攻击者没有办法强迫用户访问这个特殊制作的服务器共享或网站,但是必须诱使他们访问这个服务器共享或网站,通常是在电子邮件或聊天消息中插入诱导性链接。
采取以下措施可以缓解:
1.阻止企业外围防火墙上的 TCP 端口 445
TCP 端口 445 用于启动与受影响组件的连接。在网络边界防火墙处阻止此端口将有助于防止位于防火墙后面的系统尝试利用此漏洞。这有助于防止网络遭受来自企业边界之外的攻击。在企业边界阻止受影响的端口是帮助避免基于 Internet 的攻击的最佳防御措施。然而,系统仍然可能容易受到来自其企业边界内的攻击。
2.遵循 Microsoft 指导原则保护 SMB 流量
参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24500
更多信息,可参考微软4月安全更新指南:
https://msrc.microsoft.com/update-guide/releaseNote/2022-Apr
以下是 2022 年 4 月补丁日更新中已解决漏洞和已发布公告的完整列表:
标签 |
CVE ID |
CVE 标题 |
严重性 |
.NET 框架 |
CVE-2022-26832 |
.NET Framework 拒绝服务漏洞 |
重要 |
Active Directory 域服务 |
CVE-2022-26814 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
Active Directory 域服务 |
CVE-2022-26817 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
Azure SDK |
CVE-2022-26907 |
Azure SDK for .NET 信息泄露漏洞 |
重要 |
Azure 站点恢复 |
CVE-2022-26898 |
Azure Site Recovery 远程代码执行漏洞 |
重要 |
Azure 站点恢复 |
CVE-2022-26897 |
Azure Site Recovery 信息泄露漏洞 |
重要 |
Azure 站点恢复 |
CVE-2022-26896 |
Azure Site Recovery 信息泄露漏洞 |
重要 |
LDAP - 轻量级目录访问协议 |
CVE-2022-26831 |
Windows LDAP 拒绝服务漏洞 |
重要 |
LDAP - 轻量级目录访问协议 |
CVE-2022-26919 |
Windows LDAP 远程代码执行漏洞 |
严重 |
微软蓝牙驱动 |
CVE-2022-26828 |
Windows 蓝牙驱动程序特权提升漏洞 |
重要 |
微软动态 |
CVE-2022-23259 |
Microsoft Dynamics 365 (on-premises) 远程代码执行漏洞 |
严重 |
微软图形组件 |
CVE-2022-26920 |
Windows 图形组件信息泄露漏洞 |
重要 |
微软图形组件 |
CVE-2022-26903 |
Windows 图形组件远程代码执行漏洞 |
重要 |
Microsoft 本地安全机构服务器 (lsasrv) |
CVE-2022-24493 |
Microsoft 本地安全机构 (LSA) 服务器信息泄露漏洞 |
重要 |
微软Office Excel |
CVE-2022-24473 |
Microsoft Excel 远程代码执行漏洞 |
重要 |
微软Office Excel |
CVE-2022-26901 |
Microsoft Excel 远程代码执行漏洞 |
重要 |
微软办公室 SharePoint |
CVE-2022-24472 |
Microsoft SharePoint Server 欺骗漏洞 |
重要 |
微软Windows ALPC |
CVE-2022-24482 |
Windows ALPC 特权提升漏洞 |
重要 |
微软Windows ALPC |
CVE-2022-24540 |
Windows ALPC 特权提升漏洞 |
重要 |
Microsoft Windows 编解码器库 |
CVE-2022-24532 |
HEVC 视频扩展远程代码执行漏洞 |
重要 |
微软Windows媒体基金会 |
CVE-2022-24495 |
Windows Direct Show - 远程代码执行漏洞 |
重要 |
电源 BI |
CVE-2022-23292 |
Microsoft Power BI 欺骗漏洞 |
重要 |
角色:DNS服务器 |
CVE-2022-26815 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
角色:DNS服务器 |
CVE-2022-26816 |
Windows DNS 服务器信息泄露漏洞 |
重要 |
角色:DNS服务器 |
CVE-2022-24536 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
角色:DNS服务器 |
CVE-2022-26824 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
角色:DNS服务器 |
CVE-2022-26823 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
角色:DNS服务器 |
CVE-2022-26822 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
角色:DNS服务器 |
CVE-2022-26829 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
角色:DNS服务器 |
CVE-2022-26826 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
角色:DNS服务器 |
CVE-2022-26825 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
角色:DNS服务器 |
CVE-2022-26821 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
角色:DNS服务器 |
CVE-2022-26820 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
角色:DNS服务器 |
CVE-2022-26813 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
角色:DNS服务器 |
CVE-2022-26818 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
角色:DNS服务器 |
CVE-2022-26819 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
角色:DNS服务器 |
CVE-2022-26811 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
角色:DNS服务器 |
CVE-2022-26812 |
Windows DNS 服务器远程执行代码漏洞 |
重要 |
角色:Windows Hyper-V |
CVE-2022-22008 |
Windows Hyper-V 远程执行代码漏洞 |
严重 |
角色:Windows Hyper-V |
CVE-2022-24490 |
Windows Hyper-V 共享虚拟硬盘信息泄露漏洞 |
重要 |
角色:Windows Hyper-V |
CVE-2022-24539 |
Windows Hyper-V 共享虚拟硬盘信息泄露漏洞 |
重要 |
角色:Windows Hyper-V |
CVE-2022-26785 |
Windows Hyper-V 共享虚拟硬盘信息泄露漏洞 |
重要 |
角色:Windows Hyper-V |
CVE-2022-26783 |
Windows Hyper-V 共享虚拟硬盘信息泄露漏洞 |
重要 |
角色:Windows Hyper-V |
CVE-2022-24537 |
Windows Hyper-V 远程执行代码漏洞 |
严重 |
角色:Windows Hyper-V |
CVE-2022-23268 |
Windows Hyper-V 拒绝服务漏洞 |
重要 |
角色:Windows Hyper-V |
CVE-2022-23257 |
Windows Hyper-V 远程执行代码漏洞 |
严重 |
角色:Windows Hyper-V |
CVE-2022-22009 |
Windows Hyper-V 远程执行代码漏洞 |
重要 |
商务版 Skype |
CVE-2022-26911 |
Skype for Business 信息泄露漏洞 |
重要 |
商务版 Skype |
CVE-2022-26910 |
Skype for Business 和 Lync 欺骗漏洞 |
重要 |
视觉工作室 |
CVE-2022-24767 |
GitHub:Git for Windows 的卸载程序在 SYSTEM 用户帐户下运行时容易受到 DLL 劫持 |
重要 |
视觉工作室 |
CVE-2022-24765 |
GitHub:在 Git for Windows 中不受控制地搜索 Git 目录 |
重要 |
视觉工作室 |
CVE-2022-24513 |
Visual Studio 特权提升漏洞 |
重要 |
视觉工作室代码 |
CVE-2022-26921 |
Visual Studio Code 特权提升漏洞 |
重要 |
WinSock 的 Windows 辅助功能驱动程序 |
CVE-2022-24494 |
WinSock 特权提升漏洞的 Windows 辅助功能驱动程序 |
重要 |
Windows 应用商店 |
CVE-2022-24488 |
Windows 桌面桥特权提升漏洞 |
重要 |
Windows AppX 包管理器 |
CVE-2022-24549 |
Windows AppX 包管理器特权提升漏洞 |
重要 |
Windows 群集客户端故障转移 |
CVE-2022-24489 |
集群客户端故障转移 (CCF) 特权提升漏洞 |
重要 |
Windows 群集共享卷 (CSV) |
CVE-2022-24538 |
Windows 群集共享卷 (CSV) 拒绝服务漏洞 |
重要 |
Windows 群集共享卷 (CSV) |
CVE-2022-26784 |
Windows 群集共享卷 (CSV) 拒绝服务漏洞 |
重要 |
Windows 群集共享卷 (CSV) |
CVE-2022-24484 |
Windows 群集共享卷 (CSV) 拒绝服务漏洞 |
重要 |
Windows 通用日志文件系统驱动程序 |
CVE-2022-24521 |
Windows 通用日志文件系统驱动程序特权提升漏洞 |
重要 |
Windows 通用日志文件系统驱动程序 |
CVE-2022-24481 |
Windows 通用日志文件系统驱动程序特权提升漏洞 |
重要 |
Windows Defender的 |
CVE-2022-24548 |
Microsoft Defender 拒绝服务漏洞 |
重要 |
Windows DWM 核心库 |
CVE-2022-24546 |
Windows DWM 核心库特权提升漏洞 |
重要 |
Windows 端点配置管理器 |
CVE-2022-24527 |
Windows Endpoint Configuration Manager 特权提升漏洞 |
重要 |
Windows 传真撰写表单 |
CVE-2022-26917 |
Windows Fax Compose Form远程执行代码漏洞 |
重要 |
Windows 传真撰写表单 |
CVE-2022-26916 |
Windows Fax Compose Form远程执行代码漏洞 |
重要 |
Windows 传真撰写表单 |
CVE-2022-26918 |
Windows Fax Compose Form远程执行代码漏洞 |
重要 |
Windows 反馈中心 |
CVE-2022-24479 |
连接用户体验和遥测特权提升漏洞 |
重要 |
Windows 文件资源管理器 |
CVE-2022-26808 |
Windows 文件资源管理器特权提升漏洞 |
重要 |
Windows 文件服务器 |
CVE-2022-26827 |
Windows 文件服务器资源管理服务特权提升漏洞 |
重要 |
Windows 文件服务器 |
CVE-2022-26810 |
Windows 文件服务器资源管理服务特权提升漏洞 |
重要 |
Windows 安装程序 |
CVE-2022-24499 |
Windows Installer 特权提升漏洞 |
重要 |
Windows 安装程序 |
CVE-2022-24530 |
Windows Installer 特权提升漏洞 |
重要 |
Windows iSCSI 目标服务 |
CVE-2022-24498 |
Windows iSCSI 目标服务信息泄露漏洞 |
重要 |
Windows Kerberos |
CVE-2022-24545 |
Windows Kerberos 远程代码执行漏洞 |
重要 |
Windows Kerberos |
CVE-2022-24486 |
Windows Kerberos 特权提升漏洞 |
重要 |
Windows Kerberos |
CVE-2022-24544 |
Windows Kerberos 特权提升漏洞 |
重要 |
Windows内核 |
CVE-2022-24483 |
Windows 内核信息泄露漏洞 |
重要 |
Windows 本地安全机构子系统服务 |
CVE-2022-24487 |
Windows 本地安全机构 (LSA) 远程代码执行漏洞 |
重要 |
Windows 本地安全机构子系统服务 |
CVE-2022-24496 |
本地安全机构 (LSA) 特权提升漏洞 |
重要 |
Windows媒体 |
CVE-2022-24547 |
Windows 数字媒体接收器特权提升漏洞 |
重要 |
Windows 网络文件系统 |
CVE-2022-24491 |
Windows 网络文件系统远程代码执行漏洞 |
严重 |
Windows 网络文件系统 |
CVE-2022-24497 |
Windows 网络文件系统远程代码执行漏洞 |
严重 |
Windows PowerShell |
CVE-2022-26788 |
PowerShell 特权提升漏洞 |
重要 |
Windows 打印后台处理程序组件 |
CVE-2022-26789 |
Windows 后台打印程序特权提升漏洞 |
重要 |
Windows 打印后台处理程序组件 |
CVE-2022-26787 |
Windows 后台打印程序特权提升漏洞 |
重要 |
Windows 打印后台处理程序组件 |
CVE-2022-26786 |
Windows 后台打印程序特权提升漏洞 |
重要 |
Windows 打印后台处理程序组件 |
CVE-2022-26796 |
Windows 后台打印程序特权提升漏洞 |
重要 |
Windows 打印后台处理程序组件 |
CVE-2022-26790 |
Windows 后台打印程序特权提升漏洞 |
重要 |
Windows 打印后台处理程序组件 |
CVE-2022-26803 |
Windows 后台打印程序特权提升漏洞 |
重要 |
Windows 打印后台处理程序组件 |
CVE-2022-26802 |
Windows 后台打印程序特权提升漏洞 |
重要 |
Windows 打印后台处理程序组件 |
CVE-2022-26794 |
Windows 后台打印程序特权提升漏洞 |
重要 |
Windows 打印后台处理程序组件 |
CVE-2022-26795 |
Windows 后台打印程序特权提升漏洞 |
重要 |
Windows 打印后台处理程序组件 |
CVE-2022-26797 |
Windows 后台打印程序特权提升漏洞 |
重要 |
Windows 打印后台处理程序组件 |
CVE-2022-26798 |
Windows 后台打印程序特权提升漏洞 |
重要 |
Windows 打印后台处理程序组件 |
CVE-2022-26791 |
Windows 后台打印程序特权提升漏洞 |
重要 |
Windows 打印后台处理程序组件 |
CVE-2022-26801 |
Windows 后台打印程序特权提升漏洞 |
重要 |
Windows 打印后台处理程序组件 |
CVE-2022-26793 |
Windows 后台打印程序特权提升漏洞 |
重要 |
Windows 打印后台处理程序组件 |
CVE-2022-26792 |
Windows 后台打印程序特权提升漏洞 |
重要 |
Windows RDP |
CVE-2022-24533 |
远程桌面协议远程代码执行漏洞 |
重要 |
Windows 远程过程调用运行时 |
CVE-2022-26809 |
远程过程调用运行时远程代码执行漏洞 |
严重 |
Windows 远程过程调用运行时 |
CVE-2022-24528 |
远程过程调用运行时远程代码执行漏洞 |
重要 |
Windows 远程过程调用运行时 |
CVE-2022-24492 |
远程过程调用运行时远程代码执行漏洞 |
重要 |
Windows频道 |
CVE-2022-26915 |
Windows 安全通道拒绝服务漏洞 |
重要 |
Windows中小企业 |
CVE-2022-24485 |
Win32文件枚举远程代码执行漏洞 |
重要 |
Windows中小企业 |
CVE-2022-26830 |
DiskUsage.exe 远程执行代码漏洞 |
重要 |
Windows中小企业 |
CVE-2022-21983 |
Win32流枚举远程代码执行漏洞 |
重要 |
Windows中小企业 |
CVE-2022-24541 |
Windows Server 服务远程代码执行漏洞 |
严重 |
Windows中小企业 |
CVE-2022-24500 |
Windows SMB 远程代码执行漏洞 |
严重 |
Windows中小企业 |
CVE-2022-24534 |
Win32流枚举远程代码执行漏洞 |
重要 |
Windows 电话服务器 |
CVE-2022-24550 |
Windows Telephony Server 特权提升漏洞 |
重要 |
Windows 升级助手 |
CVE-2022-24543 |
Windows 升级助手远程代码执行漏洞 |
重要 |
Windows 用户配置文件服务 |
CVE-2022-26904 |
Windows 用户配置文件服务特权提升漏洞 |
重要 |
Windows Win32K |
CVE-2022-24474 |
Windows Win32k 特权提升漏洞 |
重要 |
Windows Win32K |
CVE-2022-26914 |
Win32k 特权提升漏洞 |
重要 |
Windows Win32K |
CVE-2022-24542 |
Windows Win32k 特权提升漏洞 |
重要 |
Windows 工作文件夹服务 |
CVE-2022-26807 |
Windows 工作文件夹服务特权提升漏洞 |
重要 |
YARP 反向代理 |
CVE-2022-26924 |
YARP 拒绝服务漏洞 |
重要 |
关于腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按二维码关注
腾讯安全威胁情报中心
