近日�����,亞信安全CERT監測到微軟補丁日發布了63個漏洞的安全補丁,其中5個被評為嚴重���,57個被評為高危,1個被評為中危��。遠程代碼執行(RCE)漏洞占本月修補漏洞的 48.4%����,其次是特權提升(EoP)漏洞���,占 29%���。其中�,Windows common log file system driver權限提升漏洞(CVE-2022-37969)已檢測到在野利用行為��,建議用戶盡快安裝對應補丁以修復漏洞�����。
經亞信安全CERT專家研判,列出如下部分值得關注的漏洞:
1���、Windows CSRSS權限提升漏洞(CVE-2022-34718)
Windows TCP/IP存在遠程代碼執行漏洞,漏洞編號為CVE-2022-34718��,該漏洞評分為9.8����,嚴重。(CVSS v3.1 矢量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)����,目前未公開�����,未發現在野利用�。
該漏洞源于Windows TCP/IP未能正確的驗證用戶輸入。未經身份驗證的攻擊者可以將特制的IPv6數據包發送到啟用了IPSec的Windows節點���,這可能會在該計算機上啟用遠程代碼執行利用。
2�、Windows Internet密鑰交換(IKE)協議擴展遠程代碼執行漏洞(CVE-2022-34721)
Windows Internet密鑰交換(IKE)協議擴展存在遠程代碼執行漏洞���,漏洞編號為CVE-2022-34721��,該漏洞評分為9.8,嚴重��。(CVSS v3.1 矢量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)�����,目前未公開����,未發現在野利用��。
未經身份驗證的攻擊者可以將特制的IP數據包發送到運行Windows并啟用了IPSec的目標計算機�����,這可能會啟用遠程代碼執行漏洞。該漏洞只影響Internet密鑰交換(IKE)協議的IKEv1版本,IKEv2版本不受影響��,但由于Windows服務器同時接收V1和V2數據包���,因此所有Windows服務器都會收到影響�����。
3、Windows Internet密鑰交換(IKE)協議擴展遠程代碼執行漏洞(CVE-2022-34722)
Windows Internet密鑰交換(IKE)協議擴展存在遠程代碼執行漏洞,漏洞編號為CVE-2022-34722,該漏洞評分為9.8,嚴重����。(CVSS v3.1 矢量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)��,目前未公開,未發現在野利用。
未經身份驗證的攻擊者可以將特制的IP數據包發送到運行Windows并啟用了IPSec的目標計算機��,這可能會啟用遠程代碼執行漏洞����。該漏洞只影響Internet密鑰交換(IKE)協議的IKEv1版本,IKEv2版本不受影響�����,但由于Windows服務器同時接收V1和V2數據包,因此所有Windows服務器都會收到影響。
4、Microsoft Dynamics CRM(on-premises)遠程代碼執行漏洞(CVE-2022-35805)
Microsoft Dynamics CRM(on-premises)存在遠程代碼執行漏洞�����,漏洞編號為CVE-2022-35805��,該漏洞評分為8.8���,高危����。(CVSS v3.1 矢量:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)�����,目前未公開���,未發現在野利用。
該漏洞允許經過身份驗證的用戶,通過運行特制的受信任解決方案包來執行任意SQL命令。攻擊者可以從那里升級并在其Dynamics 365數據庫中以db_owner身份執行命令。
5�、Microsoft Dynamics CRM(on-premises)遠程代碼執行漏洞(CVE-2022-34700)
Microsoft Dynamics CRM(on-premises)存在遠程代碼執行漏洞�,漏洞編號為CVE-2022-34700�����,該漏洞評分為8.8��,高危。(CVSS v3.1 矢量:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)��,目前未公開�,未發現在野利用。
該漏洞允許經過身份驗證的用戶�,通過運行特制的受信任解決方案包來執行任意SQL命令�����。攻擊者可以從那里升級并在其Dynamics 365數據庫中以db_owner身份執行命令。
6���、Windows common log file system driver權限提升漏洞(CVE-2022-37969)
Windows common log file system driver存在權限提升漏洞,漏洞編號為CVE-2022-37969���,該漏洞評分為7.8,高危。(CVSS v3.1 矢量:CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)����,目前已公開����,已發現在野利用�����。
攻擊者可在有權訪問目標系統并能夠在目標系統上運行代碼的情況下�,利用此漏洞獲得系統權限���。
7�����、Windows內核特權提升漏洞(CVE-2022-37956、CVE-2022-37957和CVE-2022-37964)
Windows內核中存在這三個特權提升漏洞�����,這三個漏洞的評分均為7.8�����,高危���。(CVSS v3.1 矢量:CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)��,目前未公開���,未發現在野利用��。
攻擊者成功利用這些漏洞的情況下,可獲得系統SYSTEM級別權限��。其中���,CVE-2022-37957被評為“更有可能被利用”��。這三者會影響不同版本的Windows���。例如���,CVE-2022-37964僅影響 Windows 7、Windows Server 2008和2008 R2�。CVE-2022-37956影響所有受支持的Windows和Windows服務器版本����,而CVE-2022-37957僅影響Windows 10及更高版本���,包括Windows Server版本2016����、2019 和 2022。
漏洞編號
CVE-2022-26929
CVE-2022-38013
CVE-2022-38009
CVE-2022-38008
CVE-2022-38007
CVE-2022-35803
CVE-2022-38011
CVE-2022-37959
CVE-2022-38006
CVE-2022-37958
CVE-2022-37964
CVE-2022-37963
CVE-2022-37962
CVE-2022-38010
CVE-2022-37961
CVE-2022-38005
CVE-2022-37957
CVE-2022-38004
CVE-2022-37956
CVE-2022-37955
CVE-2022-37954
CVE-2022-34734
CVE-2022-34733
CVE-2022-34732
CVE-2022-34731
CVE-2022-34730
CVE-2022-34729
CVE-2022-34728
CVE-2022-34727
CVE-2022-34726
CVE-2022-34725
CVE-2022-34724
CVE-2022-34723
CVE-2022-34722
CVE-2022-34721
CVE-2022-34720
CVE-2022-34718
CVE-2022-34719
CVE-2022-35841
CVE-2022-35840
CVE-2022-35838
CVE-2022-35837
CVE-2022-35836
CVE-2022-35835
CVE-2022-35834
CVE-2022-35833
CVE-2022-35832
CVE-2022-35831
CVE-2022-35830
CVE-2022-35828
CVE-2022-35823
CVE-2022-33679
CVE-2022-33647
CVE-2022-30200
CVE-2022-30196
CVE-2022-30170
CVE-2022-26928
CVE-2022-23960
CVE-2022-34700
CVE-2022-35805
CVE-2022-38020
CVE-2022-38019
CVE-2022-37969
受影響的版本
.NET and Visual Studio
.NET Framework
Azure
Azure Arc
Cache Speculation
HTTP.sys
Microsoft Dynamics
Microsoft Edge (Chromium-based)
Microsoft Graphics Component
Microsoft Office
Microsoft Office SharePoint
Microsoft Office Visio
Microsoft Windows ALPC
Microsoft Windows Codecs Library
Network Device Enrollment Service (NDES)
Role: DNS Server
Role: Windows Fax Service
SPNEGO Extended Negotiation
Visual Studio Code
Windows Common Log File System Driver
Windows Credential Roaming Service
Windows Defender
Windows Distributed File System (DFS)
Windows DPAPI (Data Protection Application Programming Interface)
Windows Enterprise App Management
Windows Event Tracing
Windows Group Policy
Windows IKE Extension
Windows Kerberos
Windows Kernel
Windows LDAP - Lightweight Directory Access Protocol
Windows ODBC Driver
Windows OLE
Windows Photo Import API
Windows Print Spooler Components
Windows Remote Access Connection Manager
Windows Remote Procedure Call
Windows TCP/IP
Windows Transport Security Layer (TLS)
修復建議
1、Windows 自動更新
Microsoft Update默認啟用�����,當系統檢測到可用更新時��,將會自動下載更新并在下一次啟動時安裝�。
①點擊“開始菜單”或按Windows快捷鍵��,點擊進入“設置”
②選擇“更新和安全”����,進入“Windows更新”(Windows 8�����、Windows 8.1���、Windows Server 2012以及Windows Server 2012 R2可通過控制面板進入“Windows更新”����,具體步驟為“控制面板”->“系統和安全”->“Windows更新”)
③選擇“檢查更新”��,等待系統將自動檢查并下載可用更新。
④重啟計算機���。安裝更新系統重新啟動后,可通過進入“Windows更新”->“查看更新歷史記錄”查看是否成功安裝了更新���。對于沒有成功安裝的更新,可以點擊該更新名稱進入微軟官方更新描述鏈接�����,點擊最新的SSU名稱并在新鏈接中點擊“Microsoft 更新目錄”�,然后在新鏈接中選擇適用于目標系統的補丁進行下載并安裝。
2、手動安裝更新
對于部分不能自動更新的系統版本和應用程序���,可前往Microsoft官方下載相應補丁進行更新。
公有云選型
現今社會,公有云五花八門�����,國內國外多種公有云����,簡直是讓人眼花繚亂,但是每個公司在選擇公有云前,肯定對自己的業務、業務范圍�����、業務特征都很了解,所有選型都是基于業務情況進行,脫離業務選型,后面可能會遇到各種問題����。當然因為是我們之前遇到過的坑����,總之一句話�,選擇云不但要考慮性能����,服務等等,還要考慮合規��,合法�����。我總結如下:
1�����、先針對業務類型來選擇公有云(合規性)
比如業務是支付業務,或者業務是需要辦理icp非經營性許可證�����,或者其他特殊許可證的業務����,要考慮云廠商是否能夠提供相關材料去辦理相關手續。還有就是是否涉非大陸資金投資的云廠商是否合規����。
2�����、業務主要發生地(地區)
比如業務是全球、全國�����、還是一個省�����,假設是全球性業務,就要考慮是否全球各個主要城市都有IDC機房���,假設是區域性公司,比如一個省���,就要考慮IDC機房是否在本省等等。
3�����、選擇公有云的目的
可能每個公司用公有云的目的不一樣�,具體可能有新公司使用公有云,傳統公司上云�,或者云作為業務容災雙活等等原因�。如果是新公司使用云相對就簡單的多�����,如果是傳統公司或者容災雙活使用云����,就要考慮類似是否支持專線���,pop點離你們機房有多遠距離����,是否支持光纖,當然流量不大的情況先點對點專線也可以,但是相對來說點對點可能更貴。有一些云只支持點對點專線,最后發現拉兩條電路專線需要大幾十萬���,剛上云半年或者1年費用可能才20-30w����,發現是個大坑�。所以這點也很重要�����。當然如果是光纖的話�,距離的遠近成本也不一樣��。選擇云的時候調研清楚��。
一般企業兩條專線雙活配置,或者一條專線一條vpn備份�,如果要配置vpn的話就涉及到考慮設備支持�����,比如有的云必須要cisco,或者明確說支持ikev2��,反正有些設備不好匹配�,我們這里開始借用過cisco的設備,后來廠商要回去了,我就用win server配置了一臺vpn。
以上是我們這里遇到過的坑��,回頭我在回憶一下有沒有其他坑���。
下面是一些通用選公有云參考項:
4��、服務器性能
一般我們是選擇通用服務器�,比如2c4g100g�����、4c8g100g�����、8c16g500g�、16c32g500g幾種通用配置進行比較,甚至有特殊需求,比如sap+oracle�����。比如列出當前流行的5種云或者更多云進行比較���。
如何比較呢��?肯定進行各方面的壓測���,比如os性能����、io性能��、cpu計算能力等�����。
我們用過的工具orion、unixbench����、iozone���、dd�、大文件scp等等��。
5���、歷史宕機頻繁度和處理情況
這個可以根據近期新聞渠道了解,有的云被挖斷過光纖���,有的云數據丟失���,但是各個公司處理方式不一樣�����,這個可以看出服務態度,也是可參考項之一����。當然最重要的是穩定性參考項�。
6�、服務響應時間(技術支持和日常新技術交流)
上一點可以作為服務參考,但是還要從咋們技術圈子�����,公司圈子的反饋作為參考項�,來判斷是否有良好的服務能力。還有就是在調研的時候一定要了解清楚響應時間�,是多久�����,假設你們公司是支付業務,這個就要求很快的相應時間���。
7、遷移性和可移植性
這個問題是我們運維同學經常碰到的�����,今年可能使用xx云����,明年可能從xx云遷移到yy云����,后年可能遷移到oo云。所以遷移性和可移植性非常重要���。還有就是是否能從kvm或者vmware虛擬機直接轉換,是否能做遷移支持等等��。
8��、廠商技術能力判斷
這個還是比較好判斷��,國內國外其實好的云就那么幾家,可能由于價格原因���,很多公司會不會選擇。但是可以參考。
9���、安全性
安全無小事,我業務放到你云上,我的數據是否安全�,是否長期受到攻擊��,比如當受到ddos或者cc攻擊時,能否先把大部分攻擊流量給我清洗,這個可以作為一個判斷標準,當然你選擇的時候也許不清楚�,可以多問行業內或者技術圈的朋友��。
10、其他一些參考項
因為國內巨頭就那么幾家�����,好多都有投資者關系��,戰略關系��,所以這個也是可以參考。
11����、當然還有最重要的是成本。有些公司是運維部門直接定,有的公司招投標,但是調研的時候可以根據以上10點進行大概定位��,比如選出3種����,再進行招投標。
以上是我們使用公有云5年來的經驗,歡迎大家討論�。
