微软本周二的Patch Tuesday修补了128个安全漏洞,其中有10个属于重大(Critical)漏洞,115个重要(Important)漏洞,以及3个中等(Moderate)漏洞,也包含了CVE-2022-26904与CVE-2022-24521两个零时差漏洞。
其中的CVE-2022-26904位于Windows User Profile Service,为一权限扩张漏洞,它是个已被公开的漏洞,但尚未被开采,至于CVE-2022-24521则是藏匿于Windows Common Log File System驱动程序的权限扩张漏洞,先前并未被公开,但已出现实际的开采行动。不过,这两个漏洞都只被列为重要漏洞。
此次微软所修补的重大漏洞中,有3个CVSS的风险评分高达9.8,它们分别是CVE-2022-26809、CVE-2022-24491与CVE-2022-24497,其中,CVE-2022-26809存在于远程程序调用(Remote Procedure Call,RPC)Runtime中,黑客只要发送一个特定的RPC调用至RPC主机,就可能自远程以该RPC权限于服务器上执行程序,微软建议企业可关闭边界防火墙的445 TCP端口来缓解该漏洞。
而CVE-2022-24491与CVE-2022-24497皆涉及Windows网络文件系统,仅波及激活NFS角色的系统,黑客只需发送一个特定的NFS协议网络消息至Windows机器,就能执行远程程序攻击,而且无需用户交互。
值得注意的是,微软在本月修补了18个有关Windows DNS Server的安全漏洞,趋势科技旗下的Zero Day Initiative(ZDI)团队认为其中最严重的是CVE-2022-26815,猜测它可能是微软2月没能完全修补CVE-2022-21984的结果,因而呼吁Windows用户应该正视并尽快修补该漏洞。