深度剖析微软最新漏洞，为您提供最优解决方案

宣布时间 2022-04-21

前言：

近期，微软宣布了4月份的宁静更新，修复了包罗2个0day漏洞在内的119个宁静漏洞（不包罗26个MicrosoftEdge漏洞），其中有10个漏洞被评级为严重，涉及.NET Framework、ActiveDirectoryDomainServices等多个产物和组件。（漏洞详情在文末）

东森平台北冥数据实验室第一时间对微软4月宣布的宁静通告进行分析研判，结合泰合盘古平台（THPangu-OS）的底座能力，为广大用户给出应急处置指引方案。

因远程代码执行漏洞CVE-2022-26809威胁水平高、影响范围较广，利用的庞大度低，易被攻击者广泛利用进而对广大用户造成严重危害，所以我们以此漏洞涉及的服务为例，做出了进一步的细致分析过程，并详细说明漏洞修复与补丁下载。

漏洞分析

相关漏洞位于WindowsRPC服务，该服务由名为rpcrt4.dll的库。该运行时库被加载到使用RPC协议进行通信的客户端和服务器进程中。

通过比力了10.0.22000.434（未打补丁，从2022年3月开始）和10.0.22000.613（已打补丁，从2022年4月开始）版本，能发现以下种种功效或函数的变化清单。

函数变化清单

函数OSF_CCALL::ProcessResponse和OSF_SCALL::ProcessReceivedPDU。这两个函数本质上是相似的；两者都处置RPC数据包，但一个在客户端运行，另一个在服务器端运行（CCALL和SCALL分别代表客户端调用和服务器调用）。我们继续比力OSF_SCALL::ProcessReceivedPDU，并注意到新版本中添加了两个代码块。

对比新增代码块

检察修复代码，我们看到在QUEUE::PutOnQueue之后调用了一个新函数。进入新函数并检查其代码，我们发现它用于检查整数溢出。即添加了新函数以验证整数变量是否保持在预期值范围内。

修复代码

深入解析

OSF_SCALL:GetCoalescedBuffer中的易受攻击代码，我们注意到整数溢堕落误可能导致堆缓冲区溢出，因为其中数据被复制到太小而无法填充。反过来，这允许将数据写入堆上的缓冲区界限之外。如果利用恰当，这个原语可能会导致远程代码执行。

在其他函数中也添加了类似的检查整数溢出的调用：

OSF_CCALL::ProcessResponse

OSF_SCALL::GetCoalescedBuffer

OSF_CCALL::GetCoalescedBuffer

参考链接：

https://www.akamai.com/blog/security/critical-remote-code-execution-vulnerabilities-windows-rpc-runtime

漏洞检测

东森平台天镜脆弱性扫描与管理系统已紧急宣布针对该漏洞的升级包，支持对该漏洞进行授权扫描，用户升级尺度漏洞库后即可对该漏洞进行扫描：

6070版本升级包为607000428，升级包下载地址：

https://venustech.download.venuscloud.cn/

升级后已支持该漏洞

请使用天镜脆弱性扫描与管理系统产物的用户尽快升级到最新版本，及时对该漏洞进行检测，以便尽快接纳防范措施。

基线核查

东森平台宁静配置核查管理系统已紧急宣布针对该漏洞的核查资源包，支持对该漏洞进行核查，用户升级宁静配置核查管理系统资源包后即可对该漏洞进行核查：

基线核查

修复建议

目前微软已宣布相关宁静更新，建议受影响的用户尽快修复。

自动更新

MicrosoftUpdate默认启用，当系统检测到可用更新时，将会自动下载更新并在下一次启动时安装。

手动更新

点击“开始菜单”或按Windows快捷键，点击进入“设置”。

选择“更新和宁静”，进入“Windows更新”（Windows8、Windows8.1、WindowsServer2012以及WindowsServer2012R2可通过控制面板进入“Windows更新”，具体步骤为“控制面板”->“系统和宁静”->“Windows更新”）。

选择“检查更新”，期待系统将自动检查并下载可用更新。

重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“检察更新历史记录”检察是否乐成安装了更新。对于没有乐成安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

Microsoft官方下载相应补丁进行更新。

下载链接：

https://msrc.microsoft.com/update-guide/releaseNote/2022-Apr

补丁下载示例

1.打开上述下载链接，点击漏洞列表中要修复的CVE链接。

微软漏洞列体现例

2.在微软通告页面底部左侧【产物】选择相应的系统类型，点击右侧【下载】处打开补丁下载链接。

补丁下载链接

3.点击【SecurityUpdate】，打开补丁下载页面，下载相应补丁，下载完成后双击安装。

补丁下载

小贴士：

漏洞详情

本次修复的119个漏洞中，47个为权限提升漏洞，47个为远程代码执行漏洞，13个为信息泄露漏洞，9个为拒绝服务漏洞，以及3个欺骗漏洞。1）微软本次共修复了2个0day漏洞，其中CVE-2022-24521正在被积极利用，CVE-2022-26904已经果然披露。?CVE-2022-26904：Windows用户配置文件服务权限提升漏洞该漏洞是WindowsUserProfileService中的当地权限提升漏洞，CVSS评分为7.0，所需权限低且无需用户交互，但攻击庞大度高（需要赢得竞争条件），目前此漏洞已经果然披露，微软的可利用性将其评估为可能被利用。?CVE-2022-24521：Windows通用日志文件系统驱动法式权限提升漏洞该漏洞的攻击庞大度和所需权限低，无需用户交互即可被当地利用。微软体现已检测到针对此漏洞的漏洞利用。2）本次修复的10个严重漏洞包罗：?CVE-2022-26919：WindowsLDAP远程代码执行漏洞在域中通过身份验证的尺度用户能够利用此漏洞在LDAP服务器上远程执行任意代码。但要利用此漏洞，需要修改默认的MaxReceiveBufferLDAP设置。?CVE-2022-23259：MicrosoftDynamics365(on-premises)远程代码执行漏洞经过身份验证的用户可以运行特制的受信任解决方案包来执行任意SQL命令。攻击者可以从那里升级并在其Dynamics356数据库中以db_owner身份执行命令。?CVE-2022-22008/CVE-2022-24537/CVE-2022-2325：WindowsHyper-V远程执行代码漏洞可以在Hyper-Vguest上运行特制的应用法式，这可能导致在Hyper-V主机系统执行任意代码。?CVE-2022-24491/CVE-2022-24497：WindowsNetworkFileSystem远程代码执行漏洞攻击者可以将特制的NFS协议网络消息发送到易受攻击的Windows机器，从而实现远程代码执行。注意：此漏洞仅影响启用NFS角色的系统。?CVE-2022-26809：RemoteProcedureCallRuntime远程代码执行漏洞此漏洞的CVSSv3评分为9.8�？梢酝ü騌PC主机发送一个特制的RPC调用，这可能导致在服务器端以与RPC服务相同的权限远程执行代码�？梢酝ü谄笠低馕Х阑鹎街凶柚筎CP端口445和遵循Microsoft指南以�；MB流量来缓解此漏洞。受影响的产物及版本：Windows 7 for 32、Windows Server 2016 (Server Core installation)、Windows 11 for ARM64、Windows Server, version20H2 (Server Core Installation)、Windows 10 Version 20H2for ARM64、Windows 10 Version 1909 for ARM64、Windows 10 Version 1809 for x64、Windows 10for 32、Windows 10 Version 21H2 for x64、Windows 10 Version 21H2 for ARM64、Windows 10Version 21H2 for 32、Windows 10 Version 1809 for 32、Windows Server 2022 (Server Core installation)、Windows Server 2022、Windows 10 Version 21H1for 32、Windows 10 Version 21H1 for ARM64、Windows 10 Version 21H1 for x64、WindowsServer 2012 R2 (Server Core installation)、WindowsServer 2012 R2、Windows Server 2012 (Server Coreinstallation)、Windows Server 2012、Windows Server 2008 R2 for x64、WindowsServer 2008 R2 for x64、Windows 10 Version 20H2 for 32、Windows 10 Version 20H2 for x64、WindowsServer 2008 for x64、Windows Server 2016、Windows 10 Version 1607 for x64、Windows 10Version 1607 for 32、Windows 10 for x64、Windows 10 Version 1909 for x64、Windows 10Version 1909 for 32、Windows 10 Version 1809 for ARM64、Windows Server 2008 for x64、Windows Server2008 for 32、Windows 8.1 for 32、Windows7 for x64、Windows Server 2008 for 32、Windows RT 8.1、Windows 8.1 for x64、Windows 11 for x64、Windows Server 2019 (Server Core installation)、Windows Server 2019等。?CVE-2022-24541：WindowsServer服务远程代码执行漏洞此漏洞要求使用受影响的Windows版本的用户访问恶意服务器�？梢酝ü谄笠低馕Х阑鹎街凶柚筎CP端口445和遵循Microsoft指南以�；MB流量来缓解此漏洞。?CVE-2022-24500：WindowsSMB远程代码执行漏洞此漏洞要求使用受影响的Windows版本的用户访问恶意服务器�？梢酝ü谄笠低馕Х阑鹎街凶柚筎CP端口445和遵循Microsoft指南以�；MB流量来缓解此漏洞。

北冥数据实验室

北冥数据实验室建立于2022年3月，致力于网络空间宁静知识工程研究和体系化建设的专业团队，由东森平台集团天镜漏洞研究团队、泰合知识工程团队、大数据实验室（BDlab）场景化分析团队联合组成。

北冥数据实验室始终秉持以需求为导向、知识赋能产物的核心理念，专注于提供网络空间宁静的基础知识研究和开发，制定结合威胁和漏洞情报、网络空间资产和云宁静监测数据等综合情报以及用户实际场景的宁静分析防护计谋，构建自动化视察和处置响应措施，形成场景化、结构化的知识工程体系，对种种宁静产物、平台和宁静运营提供知识赋能。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究