吳明宜微軟本周釋出 Patch Tuesday 安全更新,修補 Exchange Server 重大 RCE 在內的 71 項漏洞。
修補的漏洞編號為 CVE-2022-23277,能讓攻擊者透過一個網路呼叫,在伺服器帳號下觸發惡意程式碼。
雖然駭客需要驗證,但這項影響本地部署的 Exchange 伺服器的漏洞可能被用於橫向移動,而引發變臉攻擊 (business email compromise, BEC) 或是電子郵件造成的資料竊取。
這項漏洞影響 Exchange Server 2013 、 2016 和 2019 。安全廠商及微軟鼓勵 Exchange Server 用戶儘速修補環境。
Exchange Server 的安全隱憂從去年以來即層出不窮。包括中國駭客 Halfnium 開採的 ProxyLogon 、 ProxyShell 等,Conti 勒索軟體去年 9 月成功鎖定未修補的 Exchange Server 漏洞,而上個月還有勒索軟體 Cuba 摻一腳。
其他漏洞包括:CVE-2022-21990,為 RDP (Remote Desktop Client) 的遠端程式碼 (RCE) 執行漏洞,能讓已控制遠端桌面伺服器 (Remote Desktop Server, RDS) 連線的攻擊者在 RDP 用戶端機器上執行程式碼。雖然只被列為「重要」而非「重大」,但本漏洞已存在 PoC,因此安全專家建議以優先修補。
CVE-2022-24508 為 Windows SMBv3 Client/Server 上的 RCE 漏洞。本漏洞需要經驗證的攻擊者, Windows 10 和 Windows 10 Server 都受影響。研究團隊 ZDI 也呼籲應儘速修補。
本周的 Patch Tuesday 一共修補了 71 項漏洞,包括 Windows 中的 41 項漏洞。其他修補的產品包括 Visual Studio 、 Windows 版 Xbox App 、 Intune 、 Defender 、 Azure Site Recovery 、 Edge 、 Express Logic 等。