Akamai 对 9 月 Patch Tuesday 的看法
Microsoft 9 月 Patch Tuesday 已发布,Akamai 安全情报组着手研究了已修补的神秘漏洞。在本报告中,我们将尝试评估漏洞的实际严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞提供我们自己的看法。请在每次 Patch Tuesday 发布后的星期四留意这些见解。
这是一份持续更新的报告,随着我们的研究进展,我们将在其中增补更多信息。敬请期待!
在本报告中,我们将重点关注已修复漏洞的以下方面:
对于我们的每项受影响服务,我们会提供在无法进行修补时的监控和抵御建议,包括引用 Microsoft 的建议或者根据我们自己的经验提供解决方法。当然,没有什么抵御措施比应用修补程序更好,因此请确保尽可能及时修补系统,使其保持最新状态。
IPSec 漏洞
IPSec 是一组安全网络协议套件,用于加密和验证 IP 网络上计算机之间传输的数据包。IPSec 主要用于 VPN。
本月的 Patch Tuesday 介绍了 IPSec 领域的两个核心协议(IKEv1 和 IPv6)中的三个关键远程代码执行漏洞。
这些漏洞存在于负责处理和解析传入数据包的代码流中,而且可以被未经身份验证的攻击者远程触发,所以被列为关键漏洞,CVSS 评分为 9.8。
Windows Internet 密钥交换协议扩展
Internet 密钥交换 (IKE) 是用于加密密钥协商的常用协议之一。
范围
启用了 IPSec 并配置为使用 IKEv1 的系统很容易受到攻击。Windows Server 同时启用了 IKEv1 和 IKEv2,因此易受攻击。
常规建议
建议企业在不使用 IPSec 时禁用它。
CVE
IKE 漏洞的发现者是昆仑实验室的陈雪斌。这些漏洞似乎是由于IkeQueueRecvRequest、 IkeDecryptOakNDPacket和IkeDecryptOakPacket函数中的整数上溢和下溢所造成,可能会导致越界 (OOB) 写入。这些漏洞不需要攻击者发送多个请求,因而利用起来更容易。
CVE 编号 |
影响 |
所需访问权限 |
远程代码执行 |
网络 |
|
IPv6
范围
启用了 IPSec 和 IPv6 的系统容易受此漏洞的影响。
常规建议
建议企业在不使用 IPSec 时禁用它。
CVE
CVE 编号 |
影响 |
所需访问权限 |
远程代码执行 |
网络 |
Microsoft Dynamics CRM 漏洞
Microsoft Dynamics CRM 是 Microsoft Dynamics 365的一部分。虽然此应用程序通常作为云服务来提供,但本月补丁中解决的关键漏洞是关于本地安装。两个漏洞都被列为关键漏洞,CVSS 评分为 8.8,发现者是 Fabian Schmidt。
范围
Microsoft Dynamics CRM 需要部署后才能使用或访问,并且默认情况下并未部署。由于其 端口列表 很广泛,因此检查其是否存在的一个好办法是查找注册表项“HKLM\SOFTWARE\Microsoft\MSCRM”。在我们监控的环境中,这款产品很少见,几乎不存在。
常规建议
虽然当务之急应该是进行修补,但如果不能立即完成修补, 我们认为可以使用分段来减少攻击媒介。可以使用两种方法进行分段:
安全围栏 — 您可以对访问 CRM 服务器的工作站范围进行限制,仅允许应该拥有访问权限的员工(通常是 IT 和 CS 人员)访问系统。
此外,如果 CRM 服务器只运行 CRM 而不运行其他任何程序,您还可以将网络通信限制在 CRM 所需的端口列表上,具体请参考 Microsoft 的 文档。
用户分段 — 由于攻击需要经过身份验证的用户,这也可以作为一个很好的抵御媒介。
CVE
CVE 编号 |
影响 |
所需访问权限 |
SQLi 导致命令执行 |
需要经过身份验证的用户访问网络 |
|
OLE DB 和 ODBC 漏洞
OLE DB 和 ODBC 都是 API 规范,用于分离数据使用者和数据源之间的连接。ODBC 较旧且程序化,而 OLE DB 较新,使用组件对象模型 (COM) 来实现,并且还支持非关系数据库。
11 个远程代码执行漏洞均被标记为重要漏洞,CVSS 评分为 8.8;其发现者为研究人员 Haifei Li,他可能付出了很多精力来利用 Windows 上的数据库连接机制。其中 6 个漏洞位于 SQL 服务器的 OLE DB 提供程序中,另外 5 个位于 ODBC 驱动程序中。
OLE DB 漏洞
6 个 OLE DB 漏洞的攻击流程描述与常见问题部分的描述完全相同。描述中存在一个错误(对此我们已通知 Microsoft 安全响应中心),提到攻击者控制的服务器接收(而不是发送)恶意数据包。更正后的描述文本如下:
攻击者会诱使经过身份验证的用户尝试通过 OLEDB 连接到恶意 SQL 服务器,进而利用此漏洞,这可能导致服务器发送恶意网络数据包。攻击者可以利用此漏洞,在客户端远程执行代码。
攻击者需要在受害者设备上执行特定的触发程序,然后此设备会尝试连接到攻击者控制的远程服务器。服务器将发送恶意数据包,从而在客户端系统上执行代码。
范围
负责实现 OLE DB 规范的库在每个 Windows 系统上都能使用。因此,不需要在设备上安装任何应用程序、服务或服务器角色,攻击者也可以利用此漏洞。
常规建议
可以使用分段法来防止攻击者利用 OLE DB 漏洞。通过建立企业内的 SQL 服务器允许列表,可以避免与外部未知服务器建立连接,从而阻止上述攻击链。
CVE
CVE 编号 |
影响 |
所需访问权限 |
OLE DB 提供程序中的远程代码执行 |
网络,但需要经过身份验证的用户交互 |
|
ODBC 漏洞
所有五个漏洞的攻击场景都涉及诱使经过身份验证的用户在 Microsoft Access 中打开恶意文件。Microsoft Access 是 Microsoft 365 套件中的一个数据库管理系统 (DBMS) 应用程序。恶意文件应通过 ODBC 打开,继而触发 ODBC 驱动程序中易受攻击的代码,并导致在受害者设备上以等同于 Access 进程的权限级别执行任意代码。
恶意文件应为 MDB 格式,指定数据库结构和条目,以及(可选)数据录入表单、查询、存储过程等。MDB 文件格式相对较旧,其后续版本为 Access 2007 文件(即 .accdb 文件),提供额外的特性和功能。
范围
根据 一些资源显示,有 135,000 家企业将 Microsoft Access 应用程序用作 DBMS 解决方案。在我们监控的环境中,有 27% 的数据中心将 Microsoft Access 应用程序安装在 某些网络设备上。
CVE
CVE 编号 |
影响 |
所需访问权限 |
ODBC 驱动程序中的远程代码执行 |
网络,但需要经过身份验证的用户交互 |
|
CVE
CVE 编号 |
影响 |
所需访问权限 |
远程代码执行 |
需要经过身份验证且具有“管理列表”权限的用户访问网络 |
|
需要经过身份验证且具有“页面创建”权限的用户访问网络 |
远程过程调用运行时漏洞
远程过程调用 (RPC) 用于实现高效的进程间通信。它基于标准的客户端-服务器模式,是当今 Windows 中使用最广泛的协议之一。Microsoft 使用 RPC 作为许多 Windows 服务的一部分。
攻击者利用此漏洞可以访问 portmap.sys 中的功能,后者是将开放网络运算 RPC 程序映射到网络地址的一项服务。
范围
此漏洞仅存在于 Windows Server 上。
CVE
CVE 编号 |
影响 |
所需访问权限 |
远程代码执行 |
网络 |
Windows Kerberos 漏洞
Kerberos 是 Windows 域架构的主干,是默认的身份验证机制,已取代 New Technology LAN Manager。这次有两个漏洞,发现者是 James Forshaw。这两个漏洞都涉及加密降级,CVSS 评分为 8.1。攻击者通过将受害者和域控制器之间的连接修改为使用较弱的 RC4-md4 加密,可以破解受害者的 Kerberos 会话密钥,进而提升权限。
范围
Kerberos 是每个 Windows 域架构的一部分。
常规建议
Microsoft 的建议是,Kerberos Armoring 可以防御这两个漏洞。更多信息请参阅 此网页 。漏洞发现者 James Forshaw 曾谈到 仅启用 Kerberos Armoring 并不够,KDC 必须强制执行(而不仅仅是支持)此要求。
此外,漏洞得以暴露的一个要求是模拟攻击(但 Forshaw 指出 CVE-2022-33679 不一定是这种情况),这样可以使攻击者介入受害者和域控制器之间。模拟攻击是一种常见的攻击媒介,并且效果会非常“明显”。因此,使用 IDS 或 IPS 解决方案,或主动威胁搜寻,可以帮助减轻部分风险。
CVE
CVE 编号 |
影响 |
所需访问权限 |
修补之外的抵御方法 |
权限提升,可升级至 SYSTEM 级别 |
网络,在受害者和域控制器之间进行模拟 |
||
网络 |
在没有 RC4 密钥的情况下启用 Kerberos 预身份验证 |
这篇综述概括了我们目前的理解和我们根据现有信息提出的建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。