内存安全周报第104期 | 微软发布了针对121个漏洞的修补程序,其中包括2022年8月9日的零日主动攻击
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
一、微软发布了针对121个漏洞的修补程序,其中包括2022年8月9日的零日主动攻击(8.9)
在8月份的补丁星期二更新的内容中,微软修补了多达121个新的安全漏洞,其中还包括支持诊断工具漏洞的修复,据微软说,这一漏洞在野外正被广泛利用。
详细情况
在8月份的补丁星期二更新的内容中,微软修补了多达121个新的安全漏洞,其中还包括支持诊断工具漏洞的修复,据微软说,这一漏洞在野外正被广泛利用。
在121个漏洞中,有17个评为严重级别,102个重要级别,1个中等级别,和1个低危级别。其中两个问题在发布时就已众所周知。
值得注意的是,这家科技巨头上月底和上周解决了基于Chromium的Edge浏览器中的25个缺陷,还剩下121个安全缺陷。
排名第一的补丁是CVE-2022-34713(CVSS得分为7.8)这是一个影响Microsoft Windows支持诊断工具(MSDT)的远程代码执行案例,继Follina(CVE-2022-30190)之后,这是第二个能够在三个月内在现实世界攻击中被武器化的同一组件的缺陷。
据说,该漏洞也是人们熟知的DogWalk的一个变体,一个最初由安全研究人员Imre Rad在2020年1月披露的漏洞。
微软在一次咨询中表示“攻击者利用该漏洞需要用户打开他们精心打造的文件”。“在电子邮件攻击中,攻击者就会向用户发送精心打造的文件,并说服用户打开该文件,达到利用该漏洞的目的。”
另外,攻击者可以托管一个网站或利用一个已被攻击的网站,该网站会包含一个旨在利用漏洞的恶意软件文件,然后欺骗潜在目标点击电子邮件或即时信息中的链接来打开该文件。
安全机构Immersive Labs的网络威胁研究主任Kev Breen表示:“这个载体并不罕见,攻击者还在使用恶意文件和链接,效果很好。”“这强调了,员工要提高技能来警惕此类攻击。”
Redmond本月关闭的MSDT中的两个远程代码执行缺陷中,CVE-2022-34713就是其中之一,另一个是CVE-202-35743(CVSS得分7.8)安全研究人员Bill Demirkapi和Matt Graeber还因报告该漏洞,得到了表扬。
微软还解决了Exchange服务器中的三个特权升级漏洞(CVE-2022-21980、CVE-2022-24477和CVE-2022-24516),它们可被滥用来阅读目标邮件和下载附件,还解决了Exchange中一个公开的信息披露漏洞(CVE-2022-30134),该漏洞也可能导致同样的后果。
Rapid7的产品经理Greg Wiseman评论CVE-2022-30134:“管理员要完全修复此漏洞,应该启用扩展保护”。
这次安全更新还进一步修复了Windows点到点协议(PPP)、Windows安全套接字隧道协议(SSTP)、Azure RTOS GUIX Studio、Microsoft Office和Windows Hyper-V中的多个远程代码执行缺陷。
另一个值得注意的是,补丁星期二还解决了数十个权限提升缺陷:其中31个是在Azure Site Recovery中,而一个月前,微软在业务连续性服务中解决了30个与此类似的漏洞,5个在存储空间Direct中,3个在Windows内核中,2个在打印后台处理模块中。
参考链接
https://thehackernews.com/2022/08/microsoft-issues-patches-for-121-flaws.html?&web_view=true
二、有耐心的攻击者能够利用Cisco路由器漏洞完全访问小型企业网络。(8.10)
虽然易受攻击的路径每天只能访问一次,但仍需要优先开展修补程序,有耐心的攻击者能够利用Cisco路由器漏洞完全访问小型企业网络。
详细情况
Cisco小型企业路由器中的一个高影响漏洞可能会让“耐心且定位合适的攻击者”在受影响的设备上执行未经验证的远程代码。
Onekey软件(前身是IoT Inspector)的研究人员发现了该漏洞,他们发现在Cisco RV160、RV260、RV340和RV345系列路由器中输入验证不当可能会允许远程攻击者在系统上执行任意命令。
他们团队在本周发布的一篇技术博客中写道:“攻击者通过向网络过滤器数据库更新功能发送特别制作的输入,可以利用这个漏洞,以root权限在底层操作系统上执行任意命令。”
时机完美
Cisco路由器漏洞追踪为CVE-2022-20827,CVSS得分9.0,与设备捆绑的BrightCloud web过滤功能中的缺陷有关。
研究人员在为Pwn2Own 2021现场黑客活动寻找漏洞以制作漏洞链时发现了这个漏洞。
他们说:“不过易受攻击的路径每天只能访问一次,所以它不符合Pwn2Own规则。”
Onekey表示,尽管有时间限制,企业也应尽快实施修复。“我们知道在现实中,攻击者很有耐心,攻击时毫不犹豫,所以还是要修复路由器。”
漏洞“依赖性”困惑
Cisco在随之发布的安全公告中,发布了易受攻击路由器固件版本清单和相关修补程序指南。
顺便说一下,该公告指出,CVE-222-20827“依赖于”另一个缺陷,CVE-2022-20841。
然而,Onekey的研究员Quentin Kaiser虽然注意到了这些漏洞的相似之处,但是他告诉The Daily Swig,一个CVE不会依赖于另一个。
他说:“我没看到这两个漏洞之间的依赖性。”“它们有相似之处,因为利用的都是缺乏对中间人攻击的保护,但它们的目标组件不同。”
参考链接
