大工网安告[2022]046

一、情况分析

微软官方发布了11月安全更新通告，此次更新官方发布了微软系列软件的安全补丁，共修复64个漏洞，涉及组件包括：.NET Framework、Azure、Linux Kernel、Microsoft Exchange Server、Microsoft Office、Windows Hyper-V、Visual Studio、Windows ALPC、Windows Kerberos、Windows Mark of the Web (MOTW)、Windows Network Address Translation (NAT)、Windows ODBC Driver、Windows Point-to-Point Tunneling Protocol等。

重点漏洞描述

CVE-2022-41128：Windows Scripting Languages远程代码执行漏洞

漏洞介绍：

攻击者通过诱导用户，去访问自己特制的服务器或共享网站，来触发此漏洞，目前该漏洞已经被利用。

CVE-2022-41073：Windows Print Spooler特权提升漏洞

组件介绍：

Print Spooler是打印后台处理服务，即管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。如果此服务被禁用，任何依赖于它的服务将无法启用。

漏洞介绍：

如果成功利用此漏洞，可以使现有的低权限用户获得SYSTME权限。目前该漏洞已经被利用。

CVE-2022-41040：Microsoft Exchange Server特权提升漏洞

漏洞介绍：

经过身份验证的攻击者，利用此漏洞，可以获得在系统上运行Powershell的权限；目前此漏洞已经被利用。

CVE-2022-41082：Microsoft Exchange Server远程执行代码漏洞

经过身份验证的攻击者可能通过网络调用在服务器上执行任意代码；目前此漏洞已经被利用。

CVE-2022-41091：Windows Web查询标记安全功能绕过漏洞

漏洞介绍：

攻击者可以制作一个恶意文件以逃避Web查询标记（MOTW）防御，从而导致依赖于MOTW标记的安全功能（如Microsoft Office中的受保护视图）的完整性和可用性在一定程度上丧失；目前此漏洞已经被利用

CVE-2022-41125：Windows CNG密钥隔离服务权限提升漏洞

经过身份验证攻击者可能利用此漏洞，将自己的权限提升到SYSTEM权限；目前此漏洞已经被利用。

二、影响范围

影响多个主流版本的Windows，多个主流版本的Microsoft系列软件。

三、处置建议

1、Windows自动更新

Windows系统默认启用Microsoft Update，当检测到有可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

（1）点击“开始菜单”或按Windows快捷键，点击进入“设置”。

（2）选择“更新和安全”，进入“Windows更新”（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”->“系统和安全”->“Windows更新”）。

（3）选择“检查更新”，等待系统将自动检查并下载可用更新。

（4）重启计算机，安装更新系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

2、手动安装补丁

对于不能自动更新的系统版本（如Windows 7、Windows Server 2008、Windows Server 2008 R2），可参考以下链接下载适用于该系统的11月补丁并安装：

https://msrc.microsoft.com/update-guide/releaseNote/2022-Nov