Akamai 对 2022 年 10 月 Patch Tuesday 的看法
Microsoft 2022 年 10 月 Patch Tuesday 已发布,Akamai 安全情报组着手研究了已修补的神秘漏洞。在本报告中,我们将尝试评估漏洞的实际严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞提供我们自己的看法。请在每次 Patch Tuesday 发布后的几日留意这些见解。
这是一份持续更新的报告,随着我们的研究进展,我们将在其中增补更多信息。敬请期待!
在本报告中,我们将重点关注已修复漏洞的以下方面:
在 一篇单独的博文中,我们还介绍了我们团队在本月发现并修补的两个漏洞。这两个漏洞(一个在 Server 服务中,另一个在 Workstation 服务中)与 MS-RPC 安全回调缓存有关,我们在上一篇文章中详细解释了此机制。我们的团队在持续研究 MS-RPC 后发现了这些漏洞。如果您想了解更多关于这些特定漏洞的信息(包括自动化工具和其他分享知识的资料),可以访问我们在本周早些时候推出的新 MS-RPC GitHub 存储库。
对于我们在本报告中介绍的各项受影响的服务,我们会提供在无法进行修补时的监控和抵御建议,包括引用 Microsoft 的建议或者根据我们自己的经验提供解决方法。当然,没有什么抵御措施比应用修补程序更好,因此请确保尽可能及时修补系统,使其保持最新状态。
支持 Azure Arc 的 Kubernetes 集群连接
Azure Arc 允许客户将本地基础架构连接到 Azure,方便进行管理。这样,客户可以使用一个资源管理器 (Azure Resource Manager) 来管理他们的所有环境(虚拟机、Kubernetes 集群、数据库、服务器等)。 支持 Azure Arc 的 Kubernetes 允许用户附加和配置 Kubernetes(无论它们是在云环境还是在本地环境运行),并在 Azure Resource Manager 中显示它们。
本月出现一个 严重的权限提升漏洞,其 CVSS 评分为 10 分, 此漏洞位于支持 Azure Arc 的 Kubernetes 集群连接功能中。集群连接功能使客户能够通过在集群上运行反向代理,轻松地将他们的 Kubernetes 集群连接到 Azure Arc 服务。它还允许用户连接到集群的 apiserver ,而无需在防火墙上启用任何入站端口。我们认为这是该 CVE 获得最高评分的因素之一,因为任何人都可以从互联网上访问它。
Microsoft 表示,为了利用这个漏洞,攻击者必须知道随机生成的集群外部 DNS 端点,并且必须具有互联网访问能力。如果成功利用了此漏洞,集群连接功能将 允许未经身份验证的用户将权限提升为集群管理员,这有可能使他们获得 Kubernetes 集群的控制权。Azure Stack Edge 在连接到存在漏洞的 Azure Arc 时也容易受到此 CVE 影响,因为它允许客户通过 Azure Arc 在其设备上部署 Kubernetes 工作负载。
常规建议
由于支持 Azure Arc 的 Kubernetes 集群连接功能通过 TCP 443 端口进行通信,因此对此端口进行分段并不容易。但好消息是,如果您使用 Azure Arc,其自动升级功能会被默认启用,因此您会得到保护。如果您不确定自己是否受到保护,可以查看 此处 ,了解您的自动升级功能是否已启用。如果没有,请使用 此 手册升级您的代理。
CVE
CVE 编号 |
影响 |
所需访问权限 |
权限提升 |
从互联网上即可访问存在漏洞的集群。不需要用户身份验证。 |
Microsoft CryptoAPI
Microsoft CryptoAPI 是 Microsoft 处理安全连接和代码签名验证的专有方式。CryptoAPI 最重要的作用之一是处理证书。
Microsoft 在 2022 年 8 月 Patch Tuesday 修复了 CryptoAPI 库的一个问题。此问题是由英国国家网络安全中心和美国国家安全局报告的,公告于 10 月发布。
我们认为最相关的变化发生在 crypt32.dll 中,其中的函数 CreateChainContextFromPathGraph 发生了变化。我们认为该漏洞与这些变化有关。
CreateChainContextFromPathGraph 正在被 CertGetCertificateChain调用,这是一个有据可查的 API 调用,在每次进行安全连接时都会执行此调用,以构建证书链上下文。我们目前怀疑此漏洞源于该函数内部缺少一个检查。
如果成功的话,攻击者可以掩饰其身份,并伪装成安全连接中的合法合作伙伴。为了做到这一点,攻击者可能需要进行中间机器攻击。此外,我们从 补丁说明 中了解到,攻击者不需要身份验证就可以利用此漏洞。攻击者还可以操纵 X509 证书,以绕过代码签名保护。
常规建议
Microsoft 指出,该漏洞可以被远程利用,而且不需要身份验证。 由于 Microsoft CryptoAPI 在 Windows 中被广泛使用,并且存在于每个 Windows 端点上,因此我们建议安装该补丁。还值得注意的是,此漏洞在 8 月的 Patch Tuesday 得到了修补。因此,包含 8 月以后的更新的机器都受到保护,不受此漏洞影响。
CVE
CVE 编号 |
影响 |
所需访问权限 |
欺骗 |
网络 |
Windows 点对点隧道协议
点对点协议 (PPP) 集成在远程访问服务器 (RAS) 中,并为远程连接提供帧和身份验证功能。
本月在 PPP 中修补了七个漏洞——这些都是严重的远程代码执行 (RCE) 漏洞,CVSS 评分为 8.1 分。 去年 8 月,也是这位研究员 陈雪斌 在同一协议中发现两个 RCE 漏洞,CVSS 评分为 9.8 分。
根据 Microsoft 的公告,未经身份验证的远程攻击者可以通过发送精心设计的恶意 PPTP 数据包,从而在点对点隧道协议 (PPTP) 服务器上执行代码。但是,人们认为全部七个漏洞遭到利用的可能性不大,因为攻击十分复杂——需要在急用中获胜,而这是不确定的,可能需要一定的时间。
PPTP 有多重要? 在我们所监控环境中查询的所有 Windows Server 中,40% 的服务器通过端口 1723 接收连接,该端口是 PPTP 的标准端口。至于暴露在互联网上的服务器, Shodan 报告了 330 万台侦听端口 1723 的服务器, 但是,几乎没有一台运行的是 Windows。
漏洞在哪里? 我们怀疑漏洞源于 raspptp.sys(实施 PPTP 的驱动程序)。
常规建议
Microsoft 指出,只能通过 1723 端口的通信来利用该漏洞。因此,除了修补之外,还可以通过在网络中对 RAS 服务器分段并阻止此端口上的连接来防止利用该漏洞。但是,应当注意,阻止该端口可能会破坏常规通信。
CVE
CVE 编号 |
影响 |
所需访问权限 |
CVE-2022-38047 |
RCE |
网络 |
CVE-2022-24504 |
||
CVE-2022-38000 |
||
CVE-2022-22035 |
||
CVE-2022-30198 |
||
CVE-2022-33634 |
||
CVE-2022-41081 |
Microsoft Office
Microsoft Office 是一套客户端软件。10 月的 Patch Tuesday 修复了 Office 应用程序中的几个重要漏洞。 其中三个漏洞如果被攻击者成功利用,可能导致执行任意代码。另一个漏洞 (CVE-2022-38001) 是一个欺骗漏洞,我们认为它会导致强制身份验证。由于 Microsoft 将这些问题描述为不可从预览窗格中触发,我们认为这些漏洞与宏有关,因为这些宏在显示/运行之前需要用户互动。
常规建议
这些漏洞与 Microsoft 的 Office 应用程序套件(而不是 Office 365)有关。因此,使用 Microsoft Office 的客户应该更新他们的机器。由于 Microsoft Office 的各种应用程序暴露了一个巨大的攻击面,并存在反复出现的漏洞,如果可能的话,我们建议使用 Application Guard for Office。Application Guard 将对打开附件的过程进行沙盒化,因此,在成功利用漏洞的情况下,可以防止对主机造成伤害。
CVE
CVE 编号 |
影响 |
所需访问权限 |
任意代码执行 |
本地/远程。该漏洞需要用户互动(比如打开文档、允许运行宏)。 |
|
欺骗 |
Active Directory 证书服务
Active Directory 域服务 (AD DS) 是 Active Directory 的核心组件之一。运行此角色的服务器是 Windows 域的域控制器。
范围分析
每个 Windows 域网络(域控制器)中至少有一个 Windows Server 运行 AD DS。
实际上,本月的漏洞位于 Active Directory 证书服务 (AD CS) 中,AD CS 默认是不可用的,需要安装额外的角色。我们监控了客户环境中的 Windows Server,从中可以看到, 66% 的受监控网络拥有一台具有 AD CS 角色的服务器。
众所周知,AD CS 遭到攻击者滥用。最近最臭名昭著的示例是 PetitPotam,它在攻击流中被用作 NTLM 中继的目标(利用了 SpecterOps 开展的一项 出色研究 )。
常规建议
由于 AD CS 服务器很稀少,应该可以使用网络分段来限制或监测异常连接。由于 AD CS 身份验证是通过 RPC进行的,因此,仅靠连接元数据可能很难对其进行检测(因为它出现在一个随机的临时端口上),而大多数分段解决方案提供的正是这种检测方式。在这种情况下,应该仍然可以对来自 Windows 服务器的出站 RPC 连接进行分段(使用 RPC 端点映射器 135 端口),对于那些不应接收 RPC 连接的台式机而言,尤其如此。
CVE 分析
对于 CVE-2022-37976,攻击不一定针对 AD CS 服务器,而是依靠它们(作为唯一的要求)。该攻击是对 DCOM 服务器执行的强迫身份验证攻击。Microsoft 表示,恶意 DCOM 客户端可以利用该漏洞,使 DCOM 服务器对使用 AD CS 的客户端进行自我身份验证,并对该身份验证进行中继,最终接触到域管理员令牌。
另一方面,CVE-2022-37978 与 NTLM 身份验证有关。由于该漏洞的 FAQ 指明,攻击需要中间机器 (MITM) 并与 NTLM 身份验证有关,我们认为该漏洞的思路是绕过 AD CS 服务器上存在的 NTLM 中继抵御措施。
CVE 编号 |
影响 |
所需访问权限 |
攻击者可以从 DCOM 服务器向 AD CS 进行强迫身份验证并进行跨协议攻击,从而获得域管理员权限 |
网络 |
|
使用 MITM 攻击的攻击者可以绕过与 NTLM 身份验证有关的安全功能 |
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。