微软4月补丁日修复119个安全漏洞，腾讯安全专家建议用户尽快修复 - 网安

4月13日（北京时间）是微软 2022 年 4 月补丁日，微软修复了两个已披露的0day和总共 119 个漏洞（不包括 26 个 Microsoft Edge 漏洞），其中 10 个被归类为严重，这些漏洞允许远程执行代码。

腾讯安全专家建议用户尽快通过Windows 安全更新或腾讯电脑管家、腾讯iOA零信任安全管理系统升级安装，以防御黑客可能发起的漏洞攻击。

按漏洞性质分类，包括：

47个权限提升漏洞
47个远程代码执行漏洞
13个信息泄露漏洞
9个拒绝服务漏洞
3个欺骗漏洞
26 Edge - Chromium 漏洞

今天发布的安全公告包含以下产品、功能和角色的安全更新：

.NET Framework
Active Directory 域服务
Azure SDK
Azure Site Recovery
LDAP - 轻量级目录访问协议
Microsoft 蓝牙驱动程序
Microsoft Dynamics
Microsoft Edge（基于 Chromium）
Microsoft Graphics Component
Microsoft 本地安全认证服务器 (lsasrv)
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft Windows ALPC
Microsoft Windows 编解码器库
Microsoft Windows Media Foundation
Power BI
角色：DNS 服务器
角色：Windows Hyper-V
Skype for Business
Visual Studio
Visual Studio Code
WinSock 的 Windows 辅助功能驱动程序
Windows 应用商店
Windows AppX 软件包管理器
Windows 群集客户端故障转移
Windows 群集共享卷 (CSV)
Windows 通用日志文件系统驱动程序
Windows Defender
Microsoft DWM 核心库
Windows 端点配置管理器
Windows 传真撰写表单
Windows Feedback Hub
Windows 文件资源管理器
Windows 文件服务器
Windows 安装程序
Windows iSCSI 目标服务
Windows Kerberos
Windows Kernel
Windows 本地安全认证子系统服务
Windows Media
Windows 网络文件系统
Windows PowerShell
Windows 打印后台处理程序组件
Windows RDP
Windows 远程过程调用运行时
Windows 频道
Windows SMB
Windows 电话服务器
Windows 升级助手
Windows 用户配置文件服务
Windows Win32K
Windows 工作文件夹服务
YARP reverse proxy

今天修复的被积极利用的0day是安全研究员Abdelhamid Naceri发现的，微软此前曾在发现新的补丁绕过后尝试修复过两次。

CVE-2022-26904 - Windows 用户配置文件服务特权提升漏洞

该漏洞已被公开披露，微软评估为：更有可能被利用，漏洞利用的复杂性被标记为高，成功利用此漏洞需要攻击者赢得竞争条件。

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26904

另一个公开暴露的零日漏洞是由 CrowdStrike 和美国国家安全局 (NSA) 发现的特权提升漏洞。

CVE-2022-24521 - Windows 通用日志文件系统驱动程序特权提升漏洞

该漏洞已检测到在野利用，公告没有披露更多细节。

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24521

四月安全公告中值得重点关注的其他漏洞包括：

CVE-2022-24474 - Windows Win32k 特权提升漏洞

高危，严重级，CVSS评分，7.8分，官方评估为“更有可能被利用”

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24474

CVE-2022-24542 - Windows Win32k 特权提升漏洞

高危，严重级，CVSS评分，7.8分，官方评估为“更有可能被利用”

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24542

CVE-2022-24491 - Windows 网络文件系统远程代码执行漏洞

只有启用了 NFS 角色的系统才会受此漏洞攻击。攻击者可以向易受攻击的 Windows 计算机发送精心编制的 NFS 协议网络消息，从而启用远程执行代码。

高危，严重级，CVSS评分9.8。官方评估为“更有可能被利用”。

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24491

CVE-2022-24497 - Windows 网络文件系统远程代码执行漏洞

暂无漏洞评分，官方评估为“更有可能被利用”。

只有启用了 NFS 角色的系统才会受此漏洞攻击。攻击者可以向易受攻击的 Windows 计算机发送精心编制的 NFS 协议网络消息，从而启用远程执行代码。

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24497

CVE-2022-26919 - Windows LDAP 远程代码执行漏洞

高危，严重级，CVSS评分8.1，官方评估为“不太可能利用”。

成功利用此漏洞需要攻击者在利用之前采取额外的行动来准备目标环境。在域中经过身份验证的标准用户可能会利用此漏洞在 LDAP 服务器上远程执行任意代码。

要想利用此漏洞，管理员必须增加默认的 MaxReceiveBuffer LDAP 设置。如果不修改 MaxReceiveBuffer 的默认设置，将不会触发此漏洞。

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26919

CVE-2022-24500 - Windows SMB 远程执行代码漏洞

高危，严重级，CVSS评分8.8，官方评估为“不太可能利用”。

要利用此漏洞，用户需要访问恶意 SMB 服务器，作为 OS API 调用的一部分检索某些数据。

此漏洞需要使用受影响的 Windows 版本的用户访问恶意服务器。攻击者必须拥有特殊制作的服务器共享或网站。虽然攻击者没有办法强迫用户访问这个特殊制作的服务器共享或网站，但是必须诱使他们访问这个服务器共享或网站，通常是在电子邮件或聊天消息中插入诱导性链接。

采取以下措施可以缓解：

1.阻止企业外围防火墙上的 TCP 端口 445

TCP 端口 445 用于启动与受影响组件的连接。在网络边界防火墙处阻止此端口将有助于防止位于防火墙后面的系统尝试利用此漏洞。这有助于防止网络遭受来自企业边界之外的攻击。在企业边界阻止受影响的端口是帮助避免基于 Internet 的攻击的最佳防御措施。然而，系统仍然可能容易受到来自其企业边界内的攻击。

2.遵循 Microsoft 指导原则保护 SMB 流量

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24500

更多信息，可参考微软4月安全更新指南：

https://msrc.microsoft.com/update-guide/releaseNote/2022-Apr

以下是 2022 年 4 月补丁日更新中已解决漏洞和已发布公告的完整列表：