微软1月补丁星期二值得关注的蠕虫及其它

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

1月份修复的漏洞数量非常庞大，前几年1月份发布的补丁数量仅为它的一半左右。在所修复的CVE漏洞中，9个为“严重“级别，89个为”重要“级别，5个源自ZDI 项目。在这些漏洞中，6个漏洞是发布时已公开的漏洞，但没有1个被列为遭攻击状态。这些漏洞的类别如下：

首先来看被列为可蠕虫的 http.sys 漏洞CVE-2022-21970。该漏洞是HTTP协议栈远程代码执行漏洞，可导致攻击者向通过 HTTP Protocol Stack (http.sys) 处理数据包的系统发送特殊构造的数据包执行代码。无需用户交互、无需权限，只需一款提升服务即可利用该蠕虫漏洞。虽然它更倾向于服务器，但Windows 客户端也运行http.sys，因此所有收影响版本均受该漏洞影响。用户应快速测试并部署补丁。

第二个是微软 Exchange 服务器远程代码执行漏洞漏洞（CVE-2022-21846），是由美国国家安全局（NSA）报告的第二个 Exchange RCE 漏洞。它是微软在本月修复的第三个但唯一被列为“严重“级别的 Exchange RCE 漏洞。在CVSS评分中，这三个RCE均被列为网络邻近，因此攻击者需要在某种程度连接到目标网络。然而，内鬼或在目标网络中站稳脚跟的攻击者可利用该漏洞接管 Exchange 服务器。

第三个漏洞是微软 Office RCE 漏洞（CVE-2022-21840）。由于需要用户交互且通常具有提醒对话，因此多数和 Office 相关的RCE漏洞是“重要“级别。然而，该漏洞被列为”严重“等级。一般来说这意味着 Preview Pane（预览视图）是攻击向量，但该漏洞不属于这种情况，而可能是因为在打开特殊构造的文件时缺少提醒对话而被评估为”严重“等级。该漏洞的补丁有多种，因此用户应确保应用了所有可用补丁。遗憾的是，如果用户运行的是Mac版本的 Office 2019 和 Mac 2021 版本的 Offfice LTSC，则无补丁可用。希望微软可尽快推出补丁。

第四个漏洞是活动目录域名服务提权漏洞（CVE-2022-21857）。该漏洞可导致攻击者在一定条件下在活动目录信任边界提权。尽管通常而言，提权属于“重要“级别，单那微软认为该漏洞足以够得上”严重“等级。攻击者需要某种权限级别，因此内鬼或在网络站稳脚跟的攻击者可利用该漏洞进行横向移动并长期呆在企业网络中。

微软1月补丁星期二共修复了6个0day，不过均未遭在野利用。微软对 “0day” 的定义是：在没有官方修复方案的情况下已公开披露或已遭活跃利用的漏洞。

虽然 Curl 和 Libarchive 漏洞已由维护人员修复，但修复方案仍未集成到 Windows 中。然而，由于很多漏洞都存在公开的 PoC exploit，因此可能很快遭威胁行动者利用。