吳明宜微軟周二釋出 9 月 Patch Tuesday 安全更新,以修補 64 項新漏洞,包括一項已經有實際攻擊活動的零時差漏洞。
在 64 項漏洞中,5 項為重大漏洞,57 項為為重要,中度及低風險漏洞各 1 。這也是在本月稍早微軟修補 Chromium-based Edge 瀏覽器 16 項漏洞之外另一次修補。
Qualys 漏洞與威脅研究主任 Bharat Jogi 指出,從數量來看,本月比前幾個月來得少,但是本月卻是一個里程碑,因為微軟已經修補 2022 年第 1000 個漏洞,看樣子可能會打破 2021 年的紀錄,去年一共補了 1200 個漏洞。
本月已遭到開採的漏洞是 CVE-2022-37969(風險值 7.8),為一影響 Windows Common Log File System (CLFS) 驅動程式的權限升級漏洞,可能被攻擊者用來取得 Windows 機器上的「系統」權限。
不過微軟指出,攻擊者必須要能存取目標 Windows 機器,以及執行程式碼的能力。但攻擊者無法遠端存取 Windows,就無法執行程式碼。
有 4 家廠商,包括 CrowdStrike 、 DBAPPSecurity 、 Mandiant 及 ZScaler 發現並通報這項漏洞,這可能也顯示漏洞遭到廣泛開採。
CVE-2022-37969 也是今年 CVE-2022-24521 (CVSS: 7.8) 以後第二項被開採的 CLFS 元件漏洞,微軟在今年 4 月的 Patch Tuesday 修補了後者。不過 CVE-2022-37969 是否為 CVE-2022-24521 修補被繞過的結果不得而知。
其他重大漏洞包括:
CVE-2022-34718,為 Windows TCP/IP 遠端程式碼執行 (RCE) 漏洞。 CVE-2022-34721 及 CVE-2022-34722 同為 Windows Internet Key Exchange (IKE) 協定擴充程式的 RCE 漏洞,三者風險值皆為 9.8 。
CVE-2022-34700 及 CVE-2022-347805 則為(本地部署)Microsoft Dynamics 365 環境中的 RCE 漏洞,風險值 8.8 。
針對 CVE-2022-34721 及 CVE-2022-34722,微軟指出攻擊可以傳送改造的 IP 封包到啟動 IPSec 的目標 Windows 機器,這可引發遠端程式碼攻擊。
其他修補的漏洞包括 15 項分別位於 Microsoft ODBC Driver 、 OLE DB Provider for SQL Server 及 SharePoint Server 的 RCE 漏洞,以及位於 Windows Kerberos 及 Windows Kernel 的 5 項權限升級漏洞。
本月另一項漏洞也值得注意,它是位於 Print Spooler 模組的 CVE-2022-38005,一旦被開採也能給予攻擊者系統層級的許可。
最後是由晶片業者 Arm 修補的推測執行漏洞,名為分支歷史注入 (Branch History Injection) 或 Spectre-BHB (CVE-2022-23960),後者是在今年 3 月揭露。
Jogi 指出,這類漏洞會讓想解決的企業十分傷腦筋,因為他們必須更新作業系統、韌體,有時還得重新組譯應用。如果攻擊者成功開採此類漏洞,就能存取敏感資訊。