Akamai 对 8 月 Patch Tuesday 的看法
作者:Akamai 安全研究团队
Microsoft 8 月 Patch Tuesday 已发布,我们 Akamai 安全研究团队着手研究了已修补的神秘漏洞。在本报告中,我们将尝试评估漏洞的实际严重程度、受影响的应用程序和服务的普遍程度,并就已修复的漏洞提供我们自己的看法。请在每次 Patch Tuesday 发布后的星期三留意这些见解。
这是一份持续更新的报告,随着我们的研究进展,我们将在其中增补更多信息。敬请期待!
在本报告中,我们将重点关注已修复漏洞的四个方面:
Windows 点对点协议 (PPP)
Windows 安全套接字隧道协议 (SSTP)
网络文件系统 (NFS)
Active Directory 证书服务 (AD CS)
Microsoft Exchange Server
对于我们探讨的每项受影响服务,我们将尝试在无法进行修补时提供监控和抵御建议,通过引用 Microsoft 的建议或根据我们的经验提供我们自己的解决方法。当然,没有什么抵御措施比实际应用修补程序更好,因此请确保尽可能及时修补您的系统并使其保持最新状态。
远程访问服务器漏洞
本次 Patch Tuesday 介绍了远程访问服务器 (RAS) 两个核心协议中的严重漏洞:点对点协议和安全套接字隧道协议。
Windows Server 中的 Remote Access 角色允许远程客户端连接到 LAN,效果类似于 VPN。该服务器角色需要主动进行添加。
Windows 点对点协议
点对点协议 (PPP) 集成在 RAS 中,并为远程连接提供帧和身份验证功能。
在 PPP 中发现了四个漏洞,两个关键的远程代码执行漏洞(CVSS 评分为 9.8),两个拒绝服务漏洞(评分为 7.5 和 5.9)。根据 Microsoft 的公告,未经身份验证的远程攻击者可以通过发送精心设计的连接请求,从而在 RAS 服务器上执行代码。
据称,利用所有四个漏洞的可能性较小,这表明可能很难触发或利用这些漏洞,或者至少不能轻易触发或利用。
PPP 有多重要? 在我们所监控环境中查询的所有 Windows Server 中,40% 的服务器通过端口 1723 接收连接,该端口是点对点隧道协议的标准端口。
漏洞在哪里
CVE 分析
| CVE 编号 | 影响 | 所需访问权限 | 修补之外的抵御方法 |
|---|---|---|---|
| CVE-2022-35744 | 远程代码执行 | 网络 | 禁用端口 1723 |
| CVE-2022-30133 | |||
| CVE-2022-35769 | 拒绝服务 | - | |
| CVE-2022-35747 |
Windows 安全套接字隧道协议
根据 Microsoft Developer Network 发布的信息,Windows 安全套接字隧道协议 (SSTP) 是一种通过 HTTPS 封装 PPP 流量的机制。从本质上讲,通过该协议,用户能够使用 HTTPS 访问专用网络。
有六个 CVSS 评分为 8.1 的远程代码执行漏洞得到了修补。另有两个评分同为 8.1 的远程代码执行漏洞得到了修补,我们猜测这两个漏洞与 SstpSvc 服务有关。此外还有一个评分为 5.3 的拒绝服务漏洞得到了修补。
漏洞在哪里? 为 SSTP 提供支持的 Windows 服务是 SstpSvc,该服务最终运行 sstpsvc.dll。
常规建议
除了 CVE-2022-34701 之外,所有漏洞都涉及争用条件。由于涉及争用条件的攻击通常需要(在短时间内)多次尝试,因此网络流量可能会增加,故而监控流量峰值速率和峰值或许能发现攻击尝试。
CVE 分析
| CVE 编号 | 影响 | 所需访问权限 | 修补之外的抵御方法 |
|---|---|---|---|
| CVE-2022-35766 | 一个 未经身份验证的攻击者 可以在 RAS 服务器计算机上实现 远程代码执行 。 | 网络 | |
| CVE-2022-34702 | |||
| CVE-2022-35745 | |||
| CVE-2022-35767 | |||
| CVE-2022-34714 | |||
| CVE-2022-35794 | |||
| CVE-2022-35769 | 一个 未经身份验证的攻击者 可以在 RAS 服务器计算机上实现 远程代码执行 ,或许是通过 SstpSvc 服务实现的 | - | |
| CVE-2022-35747 | |||
| CVE-2022-34701 | 拒绝服务 |
网络文件系统
网络文件系统 (NFS) 是一种网络协议,最初由 Sun Microsystems 开发,该协议允许通过网络进行远程文件访问。该协议可在 Microsoft Windows 中实施,可以将 NFS 角色添加到服务器以将其转变为 NFS 服务器。
范围分析
NFS 功能需要添加到 Window Server 和客户端后才能使用。该功能包含在 Windows Server 的“File and Storage Services”服务器角色中。
NFS 通常使用端口 111(Sun RPC 的 EpMapper 端口,NFS 的早期版本通过 Sun RPC 实现)和 2049。通过查看各种数据中心,我们发现只有 0.1% 可能是 NFSv4 服务器,并且只有 大约一半 运行 Windows。
此外,我们还认为,本月的 CVE 是由最新的安全更新之一引入的,因为 Microsoft 的抵御措施(禁用 NFS v4.1)警告称,仅应在完全修补的服务器上执行此操作,这意味着未完全修补的服务器可能是安全的。
常规建议
通常,我们建议您查看是否可以升级您的 NFS 服务器以使用 NFS v4.1,因为该版本是最安全的版本。本 PT 中大多数围绕 NFS 的漏洞针对的都是早期版本的协议。但是,这一次,该漏洞仅影响 NFS v4,因此我们不建议升级。
相反,我们建议围绕 NFS 服务器应用分段。您应当确认能否将 NFS 客户端限制(隔离)到较小的服务器/工作站组,并限制来自 NFS 服务器的出站流量。由于它是服务器,因此应当没有什么理由启动连接。分段或许能限制漏洞利用得逞所造成的影响。
CVE 分析
CVE 编号 |
影响 |
所需访问权限 |
修补之外的抵御方法 |
攻击者可以使用对 NFS v4 未经身份验证的调用来远程执行代码 |
网络 |
— 禁用 NFSv4 — 回滚安全更新(同时保留 NFSv4,因为大多数以前的 CVE 针对的都是早期版本) |
Active Directory 证书服务
Active Directory 域服务 (AD DS) 是 Active Directory 的核心组件之一。运行此角色的服务器是 Windows 域的域控制器。
范围分析
每个 Windows 域网络(域控制器)中至少有一个 Windows Server 运行 AD DS。
实际上,本月的漏洞位于 Active Directory 证书服务 (AD CS) 中,AD CS 默认是不可用的,需要安装额外的角色。我们监控了客户环境中的 Windows Server,并且可以看到,66% 的受监控网络拥有一台具有 AD CS 角色的服务器。
众所周知,AD CS 会被攻击者滥用,最近最臭名昭著的示例是 PetitPotam,它在攻击流中被用作 NTLM 中继的目标(利用了 SpecterOps 开展的一项 出色研究 )。
常规建议
AD CS 服务应当仅安装到您网络中选定数量的服务器(甚至仅应安装到一台服务器)上,这些服务器在您的域架构中起着至关重要的作用,因此我们强烈建议您尽快修补这些服务器。
如果无法实现,那么五月的修补程序引入了额外的 Windows 事件日志(在其他类似的 CVE 之后),您应该在出现异常活动时对其进行监控。有关详细信息,请参阅 KB5014754 。
CVE 分析
CVE 编号 |
影响 |
所需访问权限 |
修补之外的抵御方法 |
攻击者可以通过修改某些用户属性然后向 AD CS 发出请求来获得 SYSTEM 权限 |
网络 |
禁用 AD CS |
Microsoft Exchange Server
Microsoft Exchange Server 是 Microsoft 开发的邮件服务器。本月修复了 6 个 CVE、3 个严重的权限提升漏洞和 3 个重要的信息披露漏洞。这些漏洞影响 Exchange 的本地安装,而不会影响 Office 365 实例。
范围分析
随着 Office 365 的推出,越来越多的企业正在放弃本地安装,转而采用 SaaS 解决方案。显然,在我们监控的网络中,只有 40% 的网络拥有本地 Exchange 服务器。
常规建议
信息披露漏洞明确指出,它们允许攻击者阅读目标邮件,但 Microsoft 并未明确说明权限提升漏洞的影响。我们认为权限提升漏洞可能允许攻击者以其他用户的名义发送电子邮件。 由于该漏洞也被归类为“可利用程度更高”,因此我们强烈建议修补您的 Exchange 服务器并启用 扩展保护。有关详细信息,请查看 Microsoft 的 Exchange 博客。
此外,其中一些漏洞需要 Exchange 服务器访问攻击者控制的恶意服务器。如果您可以映射本地 Exchange 服务器所需的邻居(外部邮件服务器、数据库等)并为其创建隔离规则,这也可能会是一种有效的抵御措施。
CVE 分析
CVE 编号 |
影响 |
所需访问权限 |
修补之外的抵御方法 |
一旦攻击得逞,攻击者或许能阅读和发送电子邮件 |
网络 |
—— 扩展保护 — 隔离来自 Exchange 服务器的出站连接 |
|
网络,恶意服务器访问权限 |
|||
通过身份验证的攻击者可以阅读和发送电子邮件 |
网络,身份验证 |
||
阅读目标电子邮件 |
网络 |
||
网络,恶意服务器访问权限 |
这篇概括性的文章根据可用信息,简要说明了我们当前的理解和建议。我们的审查还在持续进行中,本文的任何信息都可能发生更改。
