Akamai 对 11 月 Patch Tuesday 的看法
Microsoft 2022 年 11 月 Patch Tuesday 已发布,Akamai 安全情报组着手研究了已修补的神秘漏洞。在本报告中,我们将尝试评估漏洞的实际严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞提供我们自己的看法。请在每次 Patch Tuesday 发布后的几日留意这些见解。
这是一份持续更新的报告,随着我们的研究进展,我们将在其中增补更多信息。敬请期待!
在本报告中,我们将重点关注已修复漏洞的以下方面:
对于我们在本报告中介绍的各项受影响的服务,我们会提供在无法进行修补时的监控和抵御建议。当然,没有什么抵御措施比应用修补程序更好,因此请确保尽可能及时修补系统,使其保持最新状态。
警告:一些用户在应用 11 月的修补程序后,报告了与域控制器的连接问题。我们认为这可能与 CVE-2022-37966 的修复方案有关,因为该修复方案更改了默认加密值(详细内容请见下文)。该问题也可能与 Kerberos 和 Netlogon 中的其他修补程序有关。
Windows Scripting Languages
Windows Scripting Languages 是指 Windows 内脚本语言的多种实现,例如 VBScript、JavaScript 等。在此版本中,Microsoft 修补了两个脚本引擎:Jscript 和 Chakra。
JScript 是 Microsoft 的 ECMAScript实现,它与 JavaScript 应用的标准相同,并且可用于 Internet Explorer。Chakra 也是一款 JavaScript 引擎,从 JScript 派生而来,并且可用于 Microsoft Edge Legacy(较新版本的 Edge 基于 Chromium)。两个引擎都已实现为 DLL,很方便地命名为 jscript9.dll 和 chakra.dll。
此更新修复了影响这些脚本引擎的两个关键远程代码执行漏洞。
第一个漏洞是 CVE-2022-41128,该漏洞影响 JScript9 脚本语言,CVSS 评分为 8.8 分,并且被标记为“严重”级别漏洞。该漏洞不仅攻击复杂度较低,而且 还被广泛利用。要成功利用该漏洞,攻击者必须拥有特制的服务器共享或网站。然后,攻击者必须说服使用受影响的 Windows 版本的用户访问攻击者特制的服务器。
第二个漏洞是 CVE-2022-41118,该漏洞影响 JScript9 和 Chakra,CVSS 评分为 7.5 分,并且也被标记为“严重”级别漏洞。而这次,该漏洞攻击复杂度很高,这是因为需要攻击者赢得争用条件。攻击流和用户交互仍然与 CVE-2022-41128 相似。
常规建议
JScript 和 Chakra 引擎专为 Internet Explorer 和 Edge Legacy 而开发。当前有更现代的 Web 浏览器(以及基于 Chromium 的 Edge),我们建议改为使用其中一种。即便如此,请务必注意这些引擎也可以用于其他软件,因此应用修补程序是保护您的计算机免受这些漏洞影响的唯一方法。
CVE
CVE 编号 |
影响 |
所需访问权限 |
远程代码执行 |
网络 |
|
远程代码执行 |
网络 |
Windows Kerberos
Kerberos 是 Windows 域架构的主干,是默认的身份验证机制,已取代 NTLM。这次修复的两个漏洞都可用于提升权限,CVSS 评分分别为 8.1 分和 7.2 分。
除了进行修补之外,系统管理员还应阅读 Microsoft 发布的两篇知识库文章(KB5020805、 KB5021131),以了解注册表中所需的特定更改。
影响
成功利用此漏洞的攻击者可以获得管理员权限。
漏洞在哪里?
CVE-2022-37966
在此修补程序之前,Kerberos 协商中的默认加密曾经是 RC4-MD5。RC4 是一种流密码加密,这意味着通过将明文与密码流进行异或来创建密文。这种加密方式被视为弱加密,因为可以很容易地使用诸如 John the Ripper 之类的工具离线破解。漏洞也源于此默认配置。
当攻击者与 Active Directory 协商时,他们可以发送特制的请求,该请求将使用 Kerberos 的默认身份验证。请求成功后,攻击者可以获取 Kerberos 会话密钥并破解密钥以提升权限。
Kerberos 协商的默认配置将通过注册表项 ms-DS-SupportedEncryptionType 进行修复,该注册表项默认设置为 AES 加密 (0x27)。
CVE-2022-37967
此漏洞源于 Kerberos 中的特权属性证书 (PAC) 扩展。从本质上讲,PAC 是各种字段(UserId、GroupsIDs、AccountDomainId 等)的信息“容器”。PAC 信息由域控制器添加到 Kerberos 票证中。
通过查看 Microsoft 为该 CVE 发布的 知识库 文章,我们认为可以利用该漏洞绕过对发送到服务器的 PAC 签名的验证。这意味着发送带有无效或缺失签名的 PAC 结构可能会绕过验证过程并导致权限提升。
此修补程序是 CVE-2022-37067 分阶段发布的第一步。它包括对 CVE-2022-37967 的修复,但默认情况下已禁用。后续阶段计划从 2022 年 12 月 13 日到 2023 年 10 月 10 日期间进行,将分别启用审核和部分强制执行。
对于 CVE-2022-37967,修补程序会将值 2 添加到注册表项 KrbtgtFullPacSignature。此值将启用对系统中 PAC 的审核,系统管理员可以利用审核来跟踪异常情况。
注册表项 KrbtgtFullPacSignature 可以选择强制执行或者拒绝错误或缺失的 PAC 签名来应对此漏洞。
范围
Kerberos 是每个 Windows 域架构的一部分。
CVE
CVE 编号 |
影响 |
所需访问权限 |
权限提升 |
网络 |
|
权限提升 |
网络 |
Netlogon RPC
Netlogon 远程协议是用于 Windows 域环境中的用户和计算机身份验证的协议,还可用于域控制器之间的同步。因此,该协议在 Windows 域网络中非常重要,这就是为什么 CVE-2022-38023 可能会影响大多数环境。
影响
攻击者可以通过滥用此漏洞获得域中的管理权限。
漏洞在哪里?
根据 Microsoft 针对该 CVE 发布的 知识库 文章,当 Netlogon 连接在使用 RPC 签名而非 RPC 密封的情况下进行时,该 CVE 似乎相关。在 RPC 签名中,RPC 消息仅由发送方签名,接收方将消息内容与签名进行匹配以验证完整性。另一方面,RPC 密封可加密整个消息。
根据上述相关事件日志(系统事件日志中的事件 ID 5838–5841),我们认为该漏洞可能与签名的错误处理或验证有关,特别是在处理 RC4-HMAC 加密时。
常规建议
此修补程序是分阶段发布的第一步。它修复了该 CVE,还引入了一个新的注册表项 RequireSeal,该注册表项将用于强制执行 RPC 密封。在第一步操作期间,该注册表项默认设置为兼容模式,但可以由域管理员禁用。兼容模式将使域控制器允许来自第三方客户端的易受攻击的连接,但会在 Windows 计算机和域控制器上强制执行 RPC 密封。
后续阶段计划于 2023 年 4 月 11 日到 7 月 11 日期间进行,将分别删除禁用强制执行的选项和兼容模式。
我们建议域管理员在修补后不要禁用新的强制措施,而是着手升级使用 RPC 签名的客户端。如果您无法及时解决这些问题并且必须允许 RPC 签名,我们建议您至少使用已有的注册表项 RejectMD5Clients 禁用较弱的 md5 签名。
CVE
CVE 编号 |
影响 |
所需访问权限 |
权限提升 |
网络 |
以前涵盖的服务
本月的 Patch Tuesday 中还涵盖了许多其他 CVE,我们无法一一赘述。其中一些 CVE 适用于我们在过去的 Patch Tuesday 分析中已经提到的服务和功能。如果您对我们就这些服务的分析或常规建议感兴趣,建议您阅读我们之前的博文。
服务 |
CVE 编号 |
影响 |
所需访问权限 |
远程代码执行 |
以站点成员身份进行身份验证 |
||
欺骗 |
通过页面创建权限进行身份验证 |
||
远程代码执行 |
网络 |
||
拒绝服务 |
网络 |
||
远程代码执行 |
用户访问恶意服务器 |
||
信息泄漏 |
使用管理员凭据进行身份验证 |
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。