4月13日（北京时间）是微软 2022 年 4 月补丁日，微软修复了两个已披露的0day和总共 119 个漏洞（不包括 26 个 Microsoft Edge 漏洞），其中 10 个被归类为严重，这些漏洞允许远程执行代码。

腾讯安全专家建议用户尽快通过Windows 安全更新或腾讯电脑管家、腾讯iOA零信任安全管理系统升级安装，以防御黑客可能发起的漏洞攻击。

按漏洞性质分类，包括：

• 47个权限提升漏洞
• 47个远程代码执行漏洞
• 13个信息泄露漏洞
• 9个拒绝服务漏洞
• 3个欺骗漏洞
• 26 Edge - Chromium 漏洞

今天发布的安全公告包含以下产品、功能和角色的安全更新：

• .NET Framework
• Active Directory 域服务
• Azure SDK
• Azure Site Recovery
• LDAP - 轻量级目录访问协议
• Microsoft 蓝牙驱动程序
• Microsoft Dynamics
• Microsoft Edge（基于 Chromium）
• Microsoft Graphics Component
• Microsoft 本地安全认证服务器 (lsasrv)
• Microsoft Office Excel
• Microsoft Office SharePoint
• Microsoft Windows ALPC
• Microsoft Windows 编解码器库
• Microsoft Windows Media Foundation
• Power BI
• 角色：DNS 服务器
• 角色：Windows Hyper-V
• Skype for Business
• Visual Studio
• Visual Studio Code
• WinSock 的 Windows 辅助功能驱动程序
• Windows 应用商店
• Windows AppX 软件包管理器
• Windows 群集客户端故障转移
• Windows 群集共享卷 (CSV)
• Windows 通用日志文件系统驱动程序
• Windows Defender
• Microsoft DWM 核心库
• Windows 端点配置管理器
• Windows 传真撰写表单
• Windows Feedback Hub
• Windows 文件资源管理器
• Windows 文件服务器
• Windows 安装程序
• Windows iSCSI 目标服务
• Windows Kerberos
• Windows Kernel
• Windows 本地安全认证子系统服务
• Windows Media
• Windows 网络文件系统
• Windows PowerShell
• Windows 打印后台处理程序组件
• Windows RDP
• Windows 远程过程调用运行时
• Windows 频道
• Windows SMB
• Windows 电话服务器
• Windows 升级助手
• Windows 用户配置文件服务
• Windows Win32K
• Windows 工作文件夹服务
• YARP reverse proxy

今天修复的被积极利用的0day是安全研究员Abdelhamid Naceri发现的， 微软此前曾在发现新的补丁绕过后尝试修复过两次。 

CVE-2022-26904 - Windows 用户配置文件服务特权提升漏洞

该漏洞已被公开披露，微软评估为：更有可能被利用，漏洞利用的复杂性被标记为高，成功利用此漏洞需要攻击者赢得竞争条件。 

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26904

另一个公开暴露的零日漏洞是由 CrowdStrike 和美国国家安全局 (NSA) 发现的特权提升漏洞。

CVE-2022-24521 - Windows 通用日志文件系统驱动程序特权提升漏洞

该漏洞已检测到在野利用，公告没有披露更多细节。

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24521

四月安全公告中值得重点关注的其他漏洞包括：

CVE-2022-24474 - Windows Win32k 特权提升漏洞

高危，严重级，CVSS评分，7.8分，官方评估为“更有可能被利用”

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24474

CVE-2022-24542 - Windows Win32k 特权提升漏洞

高危，严重级，CVSS评分，7.8分，官方评估为“更有可能被利用”

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24542 

CVE-2022-24491 - Windows 网络文件系统远程代码执行漏洞

只有启用了 NFS 角色的系统才会受此漏洞攻击。攻击者可以向易受攻击的 Windows 计算机发送精心编制的 NFS 协议网络消息，从而启用远程执行代码。 

高危，严重级，CVSS评分9.8。官方评估为“更有可能被利用”。

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24491 

CVE-2022-24497 - Windows 网络文件系统远程代码执行漏洞

暂无漏洞评分，官方评估为“更有可能被利用”。

只有启用了 NFS 角色的系统才会受此漏洞攻击。攻击者可以向易受攻击的 Windows 计算机发送精心编制的 NFS 协议网络消息，从而启用远程执行代码。 

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24497 

CVE-2022-26919 - Windows LDAP 远程代码执行漏洞

高危，严重级，CVSS评分8.1，官方评估为“不太可能利用”。

成功利用此漏洞需要攻击者在利用之前采取额外的行动来准备目标环境。在域中经过身份验证的标准用户可能会利用此漏洞在 LDAP 服务器上远程执行任意代码。 

要想利用此漏洞，管理员必须增加默认的 MaxReceiveBuffer LDAP 设置。如果不修改 MaxReceiveBuffer 的默认设置，将不会触发此漏洞。 

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26919 

CVE-2022-24500 - Windows SMB 远程执行代码漏洞

高危，严重级，CVSS评分8.8，官方评估为“不太可能利用”。 

要利用此漏洞，用户需要访问恶意 SMB 服务器，作为 OS API 调用的一部分检索某些数据。 

此漏洞需要使用受影响的 Windows 版本的用户访问恶意服务器。攻击者必须拥有特殊制作的服务器共享或网站。虽然攻击者没有办法强迫用户访问这个特殊制作的服务器共享或网站，但是必须诱使他们访问这个服务器共享或网站，通常是在电子邮件或聊天消息中插入诱导性链接。 

采取以下措施可以缓解：

1.阻止企业外围防火墙上的 TCP 端口 445

TCP 端口 445 用于启动与受影响组件的连接。在网络边界防火墙处阻止此端口将有助于防止位于防火墙后面的系统尝试利用此漏洞。这有助于防止网络遭受来自企业边界之外的攻击。在企业边界阻止受影响的端口是帮助避免基于 Internet 的攻击的最佳防御措施。然而，系统仍然可能容易受到来自其企业边界内的攻击。 

2.遵循 Microsoft 指导原则保护 SMB 流量 

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24500 

更多信息，可参考微软4月安全更新指南：

https://msrc.microsoft.com/update-guide/releaseNote/2022-Apr

以下是 2022 年 4 月补丁日更新中已解决漏洞和已发布公告的完整列表：