Akamai 对 2022 年 12 月 Patch Tuesday 的看法
Microsoft 2022 年 12 月 Patch Tuesday 已发布,Akamai 安全情报组着手研究了已修补的神秘漏洞。今年的圣诞节似乎来得很早,因为 12 月的更新比前几个月要精简得多,因此,也许我们可以在假期前少一点恐慌——至少在 Log4Shell 的下一个继任者出现之前是这样,不过已经有了一个有力的 角逐者,所以请务必打好补丁!
在本报告中,我们将评估漏洞的实际严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞提供现实的看法。请在每次 Patch Tuesday 发布后的几日留意这些见解。
这是一份持续更新的报告,随着我们的研究进展,我们将在其中增补更多信息。敬请期待!
在本报告中,我们将重点关注已修复漏洞的以下方面:
对于我们在本报告中介绍的各项受影响的服务,我们会提供在无法进行修补时的监控和抵御建议。 当然,没有什么抵御措施比应用修补程序更好,因此请确保尽可能及时修补系统,使其保持最新状态。
Windows PowerShell
Windows PowerShell 是一种用于系统管理和自动化的实用工具。大多数版本的 Windows 中均默认提供此工具。本月修补了一个严重 CVE: CVE-2022-41076。它的 CVSS 评分为 8.5。此 CVE 实际上针对的是 PowerShell Remote。PowerShell 支持基于 WinRM 协议的远程命令。 它在默认情况下不会启用。服务器必须 启用 PSRemoting 才能进行这种访问或通信。一旦攻击者成功利用该 CVE, 在通过身份验证后, 攻击者即可规避 PSRemote 会话配置,并运行未经批准的命令。
范围
PowerShell Remote 通信是基于 WinRM 协议进行的,因此为了评估其使用范围,我们可以寻找 WinRM 连接。在我们监测的环境中, 77% 的受监测环境至少有一台机器启用了 WinRM,而在这些网络中,平均有 27% 的受监测机器接受 WinRM 连接。我们观察到有一些网络完全未启用 WinRM,还有一些网络中超过 95% 的机器启用了 WinRM。
常规建议
最重要的建议始终是给所有系统打补丁。如果您无法立即打补丁,我们可以依靠 PowerShell Remote 的某些特性来减轻一些风险:
PowerShell Remote 和 WinRM 默认不会启用。因此,只有启用了它们的机器才会面临风险。您可以通过观察 WinRM 服务是否正在运行,或者使用 PowerShell 命令 Test-WSMan来确定系统是否启用了 WinRM。此外,如果您有网络监测能力,您可以留意 TCP 端口 5985 和 5986 上的通信,这两个是默认的 WinRM 端口。
对于启用了 WinRM 的机器,您可以使用微分段,仅为必要的来源提供访问权限(例如,仅限 IT 人员或服务)。这可以通过 TCP 端口 5985 和 5986(默认的 WinRM 端口)实现。为了确定应该允许谁或什么进行访问,我们建议使用网络监测工具或网络嗅探器来查看现有的通信模式。
如果您发现启用了 WinRM 的机器没有获得任何连接,或者您认定不需要启用 WinRm,则可以将其禁用。
在您抽出时间修补系统之前,通过使用监测、分段以及禁用对该服务的不必要使用,您就可以大大减少该 CVE 的影响。
Windows 客户端/服务器运行时子系统
Windows 客户端/服务器运行时子系统 (CSRSS) 是一个系统进程,负责 Windows 计算机上的各种功能。这些功能包括创建和删除进程及线程,以及为控制台应用程序提供支持。
csrss.exe 进程非常重要,因此在每台 Windows 机器上,系统启动时都会启动该进程,而且不能终止此进程。一旦终止此进程,就会导致严重的蓝屏死机(系统崩溃)。
本月,一个 权限提升 CVE 在 CSRSS 中得到修补,即 CVE-2022-44673,其 CVSS 评分为 7,被标记为“重要”。根据 Microsoft 的报告,成功利用此漏洞的攻击者 可以获得 SYSTEM 权限。
尽管攻击的复杂性被标记为“高”,但 Microsoft 在其报告中也提到“漏洞被利用的可能性更大”,并且由于 每台 Windows 机器都会运行 CSRSS,我们强烈建议打补丁。
Microsoft Office
圣诞节肯定少不了礼物,而 Microsoft Office CVE 在本月就给我们送上了一份“大礼”。有 10 个漏洞,它们的 CVSS 评分都是 7.8,严重程度为“重要”。它们分布在三个产品/组件中:Visio、OneNote 和 Microsoft Office Graphics。
攻击媒介
虽然所有 CVE 都被标记为远程代码执行,但它们实际上是任意代码执行 (ACE) 漏洞。这意味着攻击者不能直接利用这些漏洞发起攻击,而是要通过社会工程欺骗用户,通过这种方式来利用这些漏洞。要成功利用此漏洞,攻击者需要欺骗用户/受害者下载一个特制的文件,然后在具有漏洞的相应软件中打开它。
确保最终用户警惕社会工程企图,有助于减少成功利用此漏洞的风险。确保最终用户明白不要陷入圣诞节骗局,否则等到您休假归来,只会在网络里发现一些危险的苗头。此外,由于这些应用程序通常不在服务器上,实际修补用户端点可能要更容易,因为用户停机的成本通常要低于服务器的停机成本。
CVE
CVE 编号 |
组件 |
|---|---|
Microsoft Office Graphics |
|
Microsoft Office Visio |
|
Microsoft Office OneNote |
以前涵盖的服务
本月 Patch Tuesday 中的许多 CVE 针对的是我们过去已经涵盖的系统,对于这些漏洞的抵御,我们没有什么新消息可以分享。如果您对我们就这些服务的分析或常规建议感兴趣,建议您阅读我们之前的博文。
服务 |
CVE 编号 |
影响 |
所需访问权限 |
|---|---|---|---|
远程代码执行 |
经过身份验证,具有“管理列表”权限 |
||
远程代码执行 |
网络 |
||
远程代码执行 |
基于 WCF TCP 的 经过身份验证的连接 |
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。
