对该漏洞的描述看起来相当具有威胁性。Windows TCP/IP远程代码执行漏洞。对CVE-2022-34718的关键性的 “评级 “也很严重–事实上是关键的:9.8/10。
描述是这样的。
未经认证的攻击者可以向启用了IPSec的Windows节点发送特制的IPv6数据包,这可以在该机器上实现远程代码执行的利用。
一方面,人们可以喘口气(目前谁在Windows上使用IPv6和(服务器)IPsec?- 这两个部分都是开发所需的)。
另一方面,谁会想到在2022年和Windows客户端(从7开始)和服务器(从2008服务器开始)中存在这样一个巨大的漏洞。
微软已经发布了79个补丁,作为其每月补丁星期二更新的一部分,解决三个关键等级的漏洞和一个积极利用的零日。
与上个月的更新相比,这次更新的数量明显减少,上个月修复了141个缺陷,包括17个关键等级的漏洞,这是今年的第二轮更新。
这些更新包括影响微软产品的64个CVE,以及影响基于Chromium的微软Edge浏览器的另外15个跟踪问题。
在三个关键等级的漏洞中–那些在CVSS v3等级中严重程度为9.0或更高的漏洞–最突出的缺陷影响到运行IPsec协议的系统,该协议对通信会话中的所有互联网协议数据包进行加密。
远程代码执行(RCE)漏洞被微软标记为 “更有可能 “被利用,并可能允许未经认证的攻击者发送特制的IPv6数据包到支持IPsec的Windows节点以实现代码执行。
没有迹象表明它已经在野外被利用,但由于攻击的复杂性被认为是 “低”,而且根本不需要任何认证,它被认为是IT管理员需要紧急解决的最严重问题之一。
被追踪为CVE-2022-34718的零日计划(ZDI)说。”这个关键等级的错误可能允许远程的、未经认证的攻击者在受影响的系统上执行具有更高权限的代码,而无需用户互动。
“这正式将其归入’可蠕虫’类别,并使其获得了9.8的CVSS评级。然而,只有启用了IPv6和配置了IPsec的系统才是脆弱的。虽然对一些人来说是好消息,但如果你使用IPv6(很多人都在使用),你可能也在运行IPSec。一定要迅速测试和部署这一更新”。
剩下的两个关键等级的漏洞,都被评为9.8/10,分别被追踪为CVE-2022-34721和CVE-2022-34722,影响了Windows互联网密钥交换(IKE),可以促进RCE。
与 “更有可能被利用 “的CVE-2022-34718类似,另外两个严重缺陷可以远程进行,不需要任何权限就可以利用。
“IKE协议是IPsec的一个组成部分,用于建立安全关联–基于共享安全属性的设备之间的关系,”Tenable的安全响应团队在博客中说。
“这些漏洞将允许未经认证的远程攻击者向启用IPsec的目标发送特制的IP包,并实现远程代码执行。IPsec用于保护敏感数据,通常用于虚拟专用网络”。
单个积极利用的零日(CVE-2022-37969)影响了一个Windows通用日志文件系统驱动程序,攻击者可以利用它将其权限提升到SYSTEM级别。
由于攻击者已经需要对目标机器进行本地访问,因此它在CVSS v3等级中获得了7.8/10的较低严重性分数。
这种级别的代码执行权限可以通过他们的手放在设备的键盘上(物理访问)或通过远程技术获得,例如利用另一个漏洞或通过远程桌面协议(RDP)获得远程访问。
“ZDI说:”这种性质的漏洞通常被包裹在某种形式的社会工程攻击中,例如说服某人打开一个文件或点击一个链接。”一旦他们这样做,额外的代码就会以更高的权限执行,从而接管一个系统。
“通常情况下,我们很少得到关于一个漏洞可能被广泛使用的信息。然而,微软认为有四个不同的机构报告了这个漏洞,所以它很可能不仅仅是目标攻击。”
微软在9月的 “补丁星期二 “中修补的漏洞的完整列表可以在其仪表板上找到。
原创文章,作者:中国IPv6网,如若转载,请注明出处:https://www.ipv6s.com/safety/202209152239.html