深度剖析微软最新误差，为您提供最优解决计划

宣布时间 2022-04-21

前言：

近期，微软宣布了4月份的清静更新，修复了包括2个0day误差在内的119个清静误差（不包括26个MicrosoftEdge误差），其中有10个误差被评级为严重，涉及.NET Framework、ActiveDirectoryDomainServices等多个产品和组件。（误差详情在文末）

优发国际网站官网北冥数据实验室第一时间对微软4月宣布的清静通告举行剖析研判，团结泰合盘古平台（THPangu-OS）的底座能力，为宽大用户给出应急处置惩罚指引计划。

因远程代码执行误差CVE-2022-26809威胁水平高、影响规模较广，使用的重漂后低，易被攻击者普遍使用进而对宽大用户造成严重危害，以是我们以此误差涉及的服务为例，做出了进一步的详尽剖析历程，并详细说明误差修复与补丁下载。

误差剖析

相关误差位于WindowsRPC服务，该服务由名为rpcrt4.dll的库。该运行时库被加载到使用RPC协议举行通讯的客户端和服务器历程中。

通过较量了10.0.22000.434（未打补丁，从2022年3月最先）和10.0.22000.613（已打补丁，从2022年4月最先）版本，能发明以下种种功效或函数的转变清单。

函数转变清单

函数OSF_CCALL::ProcessResponse和OSF_SCALL::ProcessReceivedPDU。这两个函数实质上是相似的；两者都处置惩罚RPC数据包，但一个在客户端运行，另一个在服务器端运行（CCALL和SCALL划分代表客户端挪用和服务器挪用）。我们继续较量OSF_SCALL::ProcessReceivedPDU，并注重到新版本中添加了两个代码块。

比照新增代码块

审查修复代码，我们看到在QUEUE::PutOnQueue之后挪用了一个新函数。进入新函数并检查其代码，我们发明它用于检查整数溢出。即添加了新函数以验证整数变量是否坚持在预期值规模内。

修复代码

深入剖析

OSF_SCALL:GetCoalescedBuffer中的易受攻击代码，我们注重到整数溢蜕化误可能导致堆缓冲区溢出，由于其中数据被复制到太小而无法填充。反过来，这允许将数据写入堆上的缓冲区界线之外。若是使用适当，这个原语可能会导致远程代码执行。

在其他函数中也添加了类似的检查整数溢出的挪用：

OSF_CCALL::ProcessResponse

OSF_SCALL::GetCoalescedBuffer

OSF_CCALL::GetCoalescedBuffer

参考链接：

https://www.akamai.com/blog/security/critical-remote-code-execution-vulnerabilities-windows-rpc-runtime

误差检测

优发国际网站官网天镜懦弱性扫描与治理系统已紧迫宣布针对该误差的升级包，支持对该误差举行授权扫描，用户升级标准误差库后即可对该误差举行扫描：

6070版本升级包为607000428，升级包下载地点：

https://venustech.download.venuscloud.cn/

升级后已支持该误差

请使用天镜懦弱性扫描与治理系统产品的用户尽快升级到最新版本，实时对该误差举行检测，以便尽快接纳提防步伐。

基线核查

优发国际网站官网清静设置核查治理系统已紧迫宣布针对该误差的核查资源包，支持对该误差举行核查，用户升级清静设置核查治理系统资源包后即可对该误差举行核查：

基线核查

修复建议

现在微软已宣布相关清静更新，建议受影响的用户尽快修复。

自动更新

MicrosoftUpdate默认启用，当系统检测到可用更新时，将会自动下载更新并在下一次启动时装置。

手动更新

点击“最先菜单”或按Windows快捷键，点击进入“设置”。

选择“更新和清静”，进入“Windows更新”（Windows8、Windows8.1、WindowsServer2012以及WindowsServer2012R2可通过控制面板进入“Windows更新”，详细办法为“控制面板”->“系统和清静”->“Windows更新”）。

选择“检查更新”，期待系统将自动检查并下载可用更新。

重启盘算机，装置更新系统重新启动后，可通过进入“Windows更新”->“审查更新历史纪录”审查是否乐成装置了更新。关于没有乐成装置的更新，可以点击该更新名称进入微软官方更新形貌链接，点击最新的SSU名称并在新链接中点击“Microsoft更新目录”，然后在新链接中选择适用于目的系统的补丁举行下载并装置。

Microsoft官方下载响应补丁举行更新。

下载链接：

https://msrc.microsoft.com/update-guide/releaseNote/2022-Apr

补丁下载示例

1.翻开上述下载链接，点击误差列表中要修复的CVE链接。

微软误差列体现例

2.在微软通告页面底部左侧【产品】选择响应的系统类型，点击右侧【下载】处翻开补丁下载链接。

补丁下载链接

3.点击【SecurityUpdate】，翻开补丁下载页面，下载响应补丁，下载完成后双击装置。

补丁下载

小贴士：

误差详情

本次修复的119个误差中，47个为权限提升误差，47个为远程代码执行误差，13个为信息泄露误差，9个为拒绝服务误差，以及3个诱骗误差。1）微软本次共修复了2个0day误差，其中CVE-2022-24521正在被起劲使用，CVE-2022-26904已经果真披露。?CVE-2022-26904：Windows用户设置文件服务权限提升误差该误差是WindowsUserProfileService中的外地权限提升误差，CVSS评分为7.0，所需权限低且无需用户交互，但攻击重漂后高（需要赢得竞争条件），现在此误差已经果真披露，微软的可使用性将其评估为可能被使用。?CVE-2022-24521：Windows通用日志文件系统驱动程序权限提升误差该误差的攻击重漂后和所需权限低，无需用户交互即可被外地使用。微软体现已检测到针对此误差的误差使用。2）本次修复的10个严重误差包括：?CVE-2022-26919：WindowsLDAP远程代码执行误差在域中通过身份验证的标准用户能够使用此误差在LDAP服务器上远程执行恣意代码。但要使用此误差，需要修改默认的MaxReceiveBufferLDAP设置。?CVE-2022-23259：MicrosoftDynamics365(on-premises)远程代码执行误差经由身份验证的用户可以运行特制的受信托解决计划包来执行恣意SQL下令。攻击者可以从那里升级并在其Dynamics356数据库中以db_owner身份执行下令。?CVE-2022-22008/CVE-2022-24537/CVE-2022-2325：WindowsHyper-V远程执行代码误差可以在Hyper-Vguest上运行特制的应用程序，这可能导致在Hyper-V主机系统执行恣意代码。?CVE-2022-24491/CVE-2022-24497：WindowsNetworkFileSystem远程代码执行误差攻击者可以将特制的NFS协议网络新闻发送到易受攻击的Windows机械，从而实现远程代码执行。注重：此误差仅影响启用NFS角色的系统。?CVE-2022-26809：RemoteProcedureCallRuntime远程代码执行误差此误差的CVSSv3评分为9.8�？梢酝ü騌PC主机发送一个特制的RPC挪用，这可能导致在服务器端以与RPC服务相同的权限远程执行代码�？梢酝ü谄笠低馕Х阑鹎街凶柚筎CP端口445和遵照Microsoft指南以�；MB流量来缓解此误差。受影响的产品及版本：Windows 7 for 32、Windows Server 2016 (Server Core installation)、Windows 11 for ARM64、Windows Server, version20H2 (Server Core Installation)、Windows 10 Version 20H2for ARM64、Windows 10 Version 1909 for ARM64、Windows 10 Version 1809 for x64、Windows 10for 32、Windows 10 Version 21H2 for x64、Windows 10 Version 21H2 for ARM64、Windows 10Version 21H2 for 32、Windows 10 Version 1809 for 32、Windows Server 2022 (Server Core installation)、Windows Server 2022、Windows 10 Version 21H1for 32、Windows 10 Version 21H1 for ARM64、Windows 10 Version 21H1 for x64、WindowsServer 2012 R2 (Server Core installation)、WindowsServer 2012 R2、Windows Server 2012 (Server Coreinstallation)、Windows Server 2012、Windows Server 2008 R2 for x64、WindowsServer 2008 R2 for x64、Windows 10 Version 20H2 for 32、Windows 10 Version 20H2 for x64、WindowsServer 2008 for x64、Windows Server 2016、Windows 10 Version 1607 for x64、Windows 10Version 1607 for 32、Windows 10 for x64、Windows 10 Version 1909 for x64、Windows 10Version 1909 for 32、Windows 10 Version 1809 for ARM64、Windows Server 2008 for x64、Windows Server2008 for 32、Windows 8.1 for 32、Windows7 for x64、Windows Server 2008 for 32、Windows RT 8.1、Windows 8.1 for x64、Windows 11 for x64、Windows Server 2019 (Server Core installation)、Windows Server 2019等。?CVE-2022-24541：WindowsServer服务远程代码执行误差此误差要求使用受影响的Windows版本的用户会见恶意服务器�？梢酝ü谄笠低馕Х阑鹎街凶柚筎CP端口445和遵照Microsoft指南以�；MB流量来缓解此误差。?CVE-2022-24500：WindowsSMB远程代码执行误差此误差要求使用受影响的Windows版本的用户会见恶意服务器�？梢酝ü谄笠低馕Х阑鹎街凶柚筎CP端口445和遵照Microsoft指南以�；MB流量来缓解此误差。

北冥数据实验室

北冥数据实验室建设于2022年3月，致力于网络空间清静知识工程研究和系统化建设的专业团队，由优发国际网站官网集团天镜误差研究团队、泰合知识工程团队、大数据实验室（BDlab）场景化剖析团队团结组成。

北冥数据实验室始终秉持以需求为导向、知识赋能产品的焦点理念，专注于提供网络空间清静的基础知识研究和开发，制订团结威胁和误差情报、网络空间资产和云清静监测数据等综合情报以及用户现实场景的清静剖析防护战略，构建自动化视察和处置惩罚响应步伐，形成场景化、结构化的知识工程系统，对种种清静产品、平台和清静运营提供知识赋能。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究