微软提供六个零日漏洞的大杂烩

Microsoft在其 11 月补丁星期二发布中发布了针对六个被积极利用的零日漏洞的修复程序，其中一个已公开披露，其中三个具有关键的通用漏洞评分系统 (CVSS) 评级。

这些零日漏洞属于总共 69 个不同的漏洞（其中 11 个是严重漏洞），这些漏洞在比平时更新的时候稍微轻一些，但由于每年的这个时候，这些漏洞可能对安全团队影响很大。

“随着假期的临近，安全团队必须保持高度警惕并提高警惕，因为攻击者通常会在这段时间加强活动——例如 Log4j、SolarWinds，” Qualys漏洞和威胁研究主管 Bharat Jogi 解释道。

“我们很可能会看到不良行为者试图利用已披露的零日漏洞和组织未修补的已发布漏洞。”

唯一公开披露的零日漏洞是CVE-2022-41091 ，其CVSS 得分为 5.4，这意味着它被认为是重要而非关键，这是 Windows Mark of the Web (MotW) 中的一个安全功能绕过漏洞。第二个 MotW 漏洞 CVE-2022-41049 也已修补。

Web 标记是一项功能，应该标记从 Internet 下载的文件，并通过安全弹出窗口提示用户确认该文件是可信的。

Tenable的高级研究工程师 Satnam Narang表示：“虽然没有特别归功于任何研究人员，但据惠普称，该漏洞最近被发现被 Magniber 勒索软件组织作为虚假软件更新在野外利用。”

正如Tiberium首席安全顾问 Gareth Lindahl-Wise 解释的那样，虽然 CVE-2022-41091 本身并没有过度破坏，但它仍然值得密切关注，因为 MotW 功能构成了纵深防御安全策略的关键要素。

“MotW 漏洞可能导致内置 Office“受保护视图”的降级或绕过，这可能会为触发恶意代码铺平道路，”他说。

三个关键零日漏洞的 CVSS 分数均为 8.8，分别是CVE-2022-41040、CVE-2022-41082和CVE-2022-41128。

其中，远程代码执行 (RCE) 漏洞 CVE-2022-41040 和特权提升 (EoP) 漏洞 CVE-2022-41082 都会影响 Microsoft Exchange Server，并且通过结合它们的力量，形成称为 ProxyNotShell 的攻击链。

ProxyNotShell——因其与ProxyShell 攻击链的相似性而得名——于 9 月曝光，但并未在 10 月的更新中进行修补，表面上是因为为了充分利用它，攻击者必须成功通过易受攻击的身份验证服务器。

Tenable 的 Narang 表示：“虽然 ProxyNotShell 的影响因身份验证要求而受到限制，但它已在野外被利用并且攻击者能够获得有效凭据这一事实仍然需要修补这些重要缺陷。”

同时，Windows脚本语言中的RCE漏洞CVE-2022-41128也应该优先考虑，因为它复杂度低，使用网络向量并且不需要任何额外的权限来利用。然而，它确实依赖于操纵受害者访问恶意网站。

Immersive Labs网络威胁研究主管 Kev Breen 表示：“这种漏洞利用非常适合希望在网络中获得初步立足点的攻击者，他们可以在网络中以大量用户为目标，并且只需要一次成功的交互即可获得访问权限。 ”

“这些攻击利用了人为因素，这就是为什么赋予员工发现和避免此类攻击的技能和能力如此重要的原因，”他补充道。

另外两个零日漏洞的 CVSS 评分均为 7.8，均为重要漏洞，分别是CVE-2022-41073（Windows 打印后台处理程序中的 EoP 漏洞）和CVE-2022-41125（Windows CNG 密钥隔离服务中的 EoP 漏洞）。

“打印后台处理程序在过去 12 个月中一直是漏洞的热门目标，这标志着第九个补丁，”Immersive Labs 的 Breen 说。

“这些类型的特权升级漏洞几乎总是被视为初始妥协的后续行动，威胁参与者接下来将寻求获得系统级或域级访问权限。在使用 mimikatz 等工具运行凭据攻击之前，需要这种更高级别的访问权限才能禁用或篡改安全监控工具，这些工具可以让攻击者在网络中横向移动，”他说。