深度分解微软最新缝隙，为您提供最优解决规划

颁布功夫 2022-04-21

媒介：

近期，微软颁布了4月份的安全更新，建复了蕴含2个0day缝隙在内的119个安全缝隙（不蕴含26个MicrosoftEdge缝隙），其中有10个缝隙被评级为严沉，涉及.NET Framework、ActiveDirectoryDomainServices等多个产品和组件。（缝隙详情在文末）

GA黄金甲北冥数据尝试住宅一功夫对微软4月颁布的安全布告进行分析研判，结合泰合盘古平台（THPangu-OS）的底座能力，为宽大用户给出应急措置指引规划。

因远程代码执行缝隙CVE-2022-26809威胁水平高、影响领域较广，利用的复杂度低，易被攻击者宽泛利用进而对宽大用户造成严沉风险，所以我们以此缝隙涉及的服务为例，做出了进一步的详细分析过程，并具体注明缝隙建复与补丁下载。

缝隙分析

有关缝隙位于WindowsRPC服务，该服务由名为rpcrt4.dll的库。该运行时库被加载到使用RPC和谈进行通讯的客户端和服务器过程中。

通过比力了10.0.22000.434（未打补丁，从2022年3月起头）和10.0.22000.613（已打补丁，从2022年4月起头）版本，能发现以下各类职能或函数的变动清单。

函数变动清单

函数OSF_CCALL::ProcessResponse和OSF_SCALL::ProcessReceivedPDU。这两个函数性质上是类似的；两者都处置RPC数据包，但一个在客户端运行，另一个在服务器端运行（CCALL和SCALL别离代表客户端挪用和服务器挪用）。我们持续比力OSF_SCALL::ProcessReceivedPDU，并把稳到新版本中增长了两个代码块。

对比新增代码块

查看建复代码，我们看到在QUEUE::PutOnQueue之后挪用了一个新函数。进入新函数并查抄其代码，我们发现它用于查抄整数溢出。即增长了新函数以验证整数变量是否维持在预期值领域内。

建复代码

深刻解析

OSF_SCALL:GetCoalescedBuffer中的易受攻击代码，我们把稳到整数溢出谬误可能导致堆缓冲区溢出，由于其中数据被复造到太幼而无法填充。反过来，这允许将数据写入堆上的缓冲区天堑之表。若是利用切当，这个原语可能会导致远程代码执行。

在其他函数中也增长了类似的查抄整数溢出的挪用：

OSF_CCALL::ProcessResponse

OSF_SCALL::GetCoalescedBuffer

OSF_CCALL::GetCoalescedBuffer

参考链接：

https://www.akamai.com/blog/security/critical-remote-code-execution-vulnerabilities-windows-rpc-runtime

缝隙检测

GA黄金甲天镜脆弱性扫描与治理系统已垂危颁布针对该缝隙的升级包，支持对该缝隙进行授权扫描，用户升级尺度缝隙库后即可对该缝隙进行扫描：

6070版本升级包为607000428，升级包下载地址：

https://venustech.download.venuscloud.cn/

升级后已支持该缝隙

请使用天镜脆弱性扫描与治理系统产品的用户尽快升级到最新版本，实时对该缝隙进行检测，以便尽快采取防备措施。

基线核查

GA黄金甲安全配置核查治理系统已垂危颁布针对该缝隙的核查资源包，支持对该缝隙进行核查，用户升级安全配置核查治理系统资源包后即可对该缝隙进行核查：

基线核查

建复建议

目前微软已颁布有关安全更新，建议受影响的用户尽快建复。

自动更新

MicrosoftUpdate默认启用，当系统检测到可用更新时，将会自动下载更新并鄙人一次启动时装置。

手动更新

点击“起头菜单”或按Windows快捷键，点击进入“设置”。

选择“更新和安全”，进入“Windows更新”（Windows8、Windows8.1、WindowsServer2012以及WindowsServer2012R2可通过节造面板进入“Windows更新”，具体步骤为“节造面板”->“系统和安全”->“Windows更新”）。

选择“查抄更新”，期待系统将自动查抄并下载可用更新。

沉启推算机，装置更新系统沉新启动后，可通过进入“Windows更新”->“查看更新汗青纪录”查看是否成功装置了更新。对于没有成功装置的更新，能够点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft更新目录”，而后在新链接当选择合用于指标系统的补丁进行下载并装置。

Microsoft官方下载相应补丁进行更新。

下载链接：

https://msrc.microsoft.com/update-guide/releaseNote/2022-Apr

补丁下载示例

1.打开上述下载链接，点击缝隙列表中要建复的CVE链接。

微软缝隙列暗示例

2.在微软布告页面底部左侧【产品】选择相应的系统类型，点击右侧【下载】处打开补丁下载链接。

补丁下载链接

3.点击【SecurityUpdate】，打开补丁下载页面，下载相应补丁，下载实现后双击装置。

补丁下载

幼贴士：

缝隙详情

本次建复的119个缝隙中，47个为权限提升缝隙，47个为远程代码执行缝隙，13个为信息泄露缝隙，9个为回绝服务缝隙，以及3个糊弄缝隙。1）微软本次共建复了2个0day缝隙，其中CVE-2022-24521在被积极利用，CVE-2022-26904已经公开披露。?CVE-2022-26904：Windows用户配置文件服务权限提升缝隙该缝隙是WindowsUserProfileService中的本地权限提升缝隙，CVSS评分为7.0，所需权限低且无需用户交互，但攻击复杂度高（必要赢得竞争前提），目前此缝隙已经公开披露，微软的可利用性将其评估为可能被利用。?CVE-2022-24521：Windows通用日志文件系统驱动法式权限提升缝隙该缝隙的攻击复杂度和所需权限低，无需用户交互即可被本地利用。微软暗示已检测到针对此缝隙的缝隙利用。2）本次建复的10个严沉缝隙蕴含：?CVE-2022-26919：WindowsLDAP远程代码执行缝隙在域中通过身份验证的尺度用户可能利用此缝隙在LDAP服务器上远程执行肆意代码。但要利用此缝隙，必要批改默认的MaxReceiveBufferLDAP设置。?CVE-2022-23259：MicrosoftDynamics365(on-premises)远程代码执行缝隙经过身份验证的用户能够运行特造的受信赖解决规划包来执行肆意SQL号令。攻击者能够从那里升级并在其Dynamics356数据库中以db_owner身份执行号令。?CVE-2022-22008/CVE-2022-24537/CVE-2022-2325：WindowsHyper-V远程执行代码缝隙能够在Hyper-Vguest上运行特造的利用法式，这可能导致在Hyper-V主机系统执行肆意代码。?CVE-2022-24491/CVE-2022-24497：WindowsNetworkFileSystem远程代码执行缝隙攻击者能够将特造的NFS和谈网络新闻发送到易受攻击的Windows机械，从而实现远程代码执行。把稳：此缝隙仅影响启用NFS角色的系统。?CVE-2022-26809：RemoteProcedureCallRuntime远程代码执行缝隙此缝隙的CVSSv3评分为9.8�Ｄ芄煌ü騌PC主机发送一个特造的RPC挪用，这可能导致在服务器端以与RPC服务一样的权限远程执行代码�Ｄ芄煌ü谄笠当砦Х阑鹎街凶柚筎CP端口445和遵循Microsoft指南以�；MB流量来缓解此缝隙。受影响的产品及版本：Windows 7 for 32、Windows Server 2016 (Server Core installation)、Windows 11 for ARM64、Windows Server, version20H2 (Server Core Installation)、Windows 10 Version 20H2for ARM64、Windows 10 Version 1909 for ARM64、Windows 10 Version 1809 for x64、Windows 10for 32、Windows 10 Version 21H2 for x64、Windows 10 Version 21H2 for ARM64、Windows 10Version 21H2 for 32、Windows 10 Version 1809 for 32、Windows Server 2022 (Server Core installation)、Windows Server 2022、Windows 10 Version 21H1for 32、Windows 10 Version 21H1 for ARM64、Windows 10 Version 21H1 for x64、WindowsServer 2012 R2 (Server Core installation)、WindowsServer 2012 R2、Windows Server 2012 (Server Coreinstallation)、Windows Server 2012、Windows Server 2008 R2 for x64、WindowsServer 2008 R2 for x64、Windows 10 Version 20H2 for 32、Windows 10 Version 20H2 for x64、WindowsServer 2008 for x64、Windows Server 2016、Windows 10 Version 1607 for x64、Windows 10Version 1607 for 32、Windows 10 for x64、Windows 10 Version 1909 for x64、Windows 10Version 1909 for 32、Windows 10 Version 1809 for ARM64、Windows Server 2008 for x64、Windows Server2008 for 32、Windows 8.1 for 32、Windows7 for x64、Windows Server 2008 for 32、Windows RT 8.1、Windows 8.1 for x64、Windows 11 for x64、Windows Server 2019 (Server Core installation)、Windows Server 2019等。?CVE-2022-24541：WindowsServer服务远程代码执行缝隙此缝隙要求使用受影响的Windows版本的用户接见恶意服务器�Ｄ芄煌ü谄笠当砦Х阑鹎街凶柚筎CP端口445和遵循Microsoft指南以�；MB流量来缓解此缝隙。?CVE-2022-24500：WindowsSMB远程代码执行缝隙此缝隙要求使用受影响的Windows版本的用户接见恶意服务器�Ｄ芄煌ü谄笠当砦Х阑鹎街凶柚筎CP端口445和遵循Microsoft指南以�；MB流量来缓解此缝隙。

北冥数据尝试室

北冥数据尝试室成立于2022年3月，致力于网络空间安全知识工程钻研和系统化建设的专业团队，由GA黄金甲集团天镜缝隙钻研团队、泰合知识工程团队、大数据尝试室（BDlab）场景化分析团队结合组成。

北冥数据尝试室始终秉持以需要为导向、知识赋能产品的主题理想，专一于提供网络空间安全的基础知识钻研和开发，造订结合威胁和缝隙谍报、网络空间资产和云安全监测数据等综合谍报以及用户现实场景的安全分析防护战术，构建自动化调查和措置响应措施，形成场景化、结构化的知识工程系统，对各类安全产品、平台和安全运营提供知识赋能。

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研