微软终端防护Defender中的CVE-2022-23278欺骗漏洞修复指南
微软发布了安全更新以解决Microsoft Defender for Endpoint中的CVE-2022-23278漏洞。这一重要的类欺骗漏洞影响所有平台。我们感谢Falcon Force通过协调漏洞披露合作解决此问题。
网络犯罪分子寻找任何机会篡改安全保护措施,以蒙蔽、混淆或关闭客户防御。微软持续努力挫败这些方法,通过自身研究以及与安全社区的合作,帮助客户保护环境并在攻击发生时获得可见性。随着三月份安全更新的发布,我们通过解决攻击者在客户端和服务之间伪造信息的能力,进一步强化了Microsoft Defender for Endpoint。此漏洞影响所有平台,我们发布的更新应像其他安全更新一样部署。
在Windows上,此更新是三月份Windows累积更新的一部分,因此如果启用了自动更新,则无需进一步操作。对于未启用自动更新的用户,我们建议启用。使用最新操作系统的客户受益于允许强大保护的新操作系统功能。正常部署方法的说明如下:
| 发布渠道 | 可用性 | 下一步 |
|---|---|---|
| Windows Update和Microsoft Update | 是 | 无需操作。此更新将从Windows Update自动下载并安装。 |
| Windows Update for Business | 是 | 无需操作。此更新将根据配置的策略从Windows Update自动下载并安装。 |
| Microsoft Update Catalog | 是 | 要获取此更新的独立包,请访问Microsoft Update Catalog网站。 |
| Windows Server Update Services (WSUS) | 是 | 如果您按以下方式配置产品和分类,此更新将自动与WSUS同步:产品:Windows 11、Windows 10、Windows Server 2016、Windows Server 2019或Windows Server 2022。分类:安全更新。已终止生命周期的产品不会收到更新。 |
| Microsoft AutoUpdate for macOS | 是 | 有关自动或手动配置的信息可在此处找到。 |
| Linux更新 | 是 | 有关手动安装的信息可在此处找到。 |
| Google Play Store | 是 | 有关在Android上部署和配置更新的信息可在此处找到。 |
| Apple App Store | 是 | 有关在iOS上部署和配置更新的信息可在此处找到。 |
在发布时,微软未发现任何利用此漏洞的攻击。除了安全更新外,微软还发布了可能的利用活动检测。客户应监控这些检测(列表如下)并查阅威胁分析文章(需要许可证和访问权限),该文章揭示了风险和可能的利用活动。
- 可疑客户端通信 – 检测可疑客户端通信,可能由设备欺骗或重复设备ID引起。
鼓励客户尽快应用三月份的安全更新。更新的官方文档可在此处找到:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23278。
- Microsoft Defender for Endpoint团队