簡述
微軟為其 4 月 Patch Tuesday 發佈了 128 個漏洞的修補程序，當中 10 個被評為嚴重（Critical）漏洞，其中包含三個無需用戶行為便可利用的蠕蟲代碼執行漏洞。此外，還包含了兩個允許權限擴張的零時差漏洞，且其中一個目前已出現實際的開採行為。

 

4 月份 Patch Tuesday 影響範圍
此次的修復更新覆蓋了微軟的整個產品組合，包含 Microsoft Windows 和 Windows 組件、Microsoft Defender 和 Defender for Endpoint、Microsoft Dynamics、Microsoft Edge（基於 Chromium）、Exchange Server、Office 和 Office 組件、SharePoint Server、Windows Hyper -V、DNS 服務器、Skype for Business、.NET 和 Visual Studio、Windows App Store 和 Windows Print Spooler 組件。

 

零時差漏洞
CVE-2022-24521
是藏匿於 Windows Common Log File System 驅動程式的權限擴張漏洞，CVSS 漏洞評分為 7.8 分，由美國國家安全局報告給微軟。研究人員指出，攻擊者可能會將此漏洞與其他執行代碼進行組合，Immersive Labs 的網路威脅研究主管 Kevin Breen 建議將其置於優先修補的列表裡。

 

CVE-2022-26904
它也是一個權限擴張的漏洞，CVSS 評分為 7。微軟表示此漏洞具有很高的攻擊複雜性，漏洞利用難度高。但 Tripwire 的研究人員指出，目前已有此漏洞的利用代碼，且可在 Metasploit 框架中被找到。

 

三個高達 9.8 分的嚴重漏洞
CVE-2022-26809
在所有的遠端執行代碼漏洞中，研究人員將這個可能自行傳播的漏洞標記為最值得關注的問題，CVSS 評分為 9.8。CVE-2022-26809 存在於遠端程序呼叫（Remote Procedure Call，RPC）Runtime 中。RPC 是一種通信機制，允許一個程序從位於網絡上的另一個程序請求服務或功能。駭客只需要傳送一個特製的 RPC 呼叫至 RPC 主機，便可遠端以 RPC 的權限於伺服器上執行惡意程式。微軟建議使用者可透過關閉邊界防火墻的 445 TCP 埠，或使用靜態的135 TCP 埠來緩解此漏洞。

 

CVE-2022-24491 及 CVE-2022-24497 
這兩個是影響 Windows 網絡文件系統（NFS）的遠端代碼執行漏洞（RCE）。兩者 CVSS 分數也是 9.8，研究人員表示這兩個漏洞有可能被利用來進行蠕蟲攻擊。因為駭客只需要傳送一個特製的 NFS 協定網絡訊息至 Windows 機器，無需與使用者互動，便能執行遠端代碼攻擊。

 

其他漏洞
微軟在本月修補了 Windows 域名伺服器中 18 個漏洞，其中一個漏洞 CVE-2022-26815 被趨勢科技認為最嚴重，推測可能是微軟 2 月份對 CVE-2022-21984 修補不全所造成的的結果，呼籲微軟的用戶應盡快修補這個漏洞。

 

參考資料：
https://www.ithome.com.tw/news/150413
https://threatpost.com/microsoft-zero-days-wormable-bugs/179273/