CVE-2022-23278 Microsoft Defender for Endpoint 欺骗漏洞指南
注意: 本博客是《Guidance for CVE-2022-23278 spoofing in Microsoft Defender for Endpoint》的翻译版本。最新信息请参考原文。
微软已发布针对 Microsoft Defender for Endpoint 中 CVE-2022-23278 的安全更新程序。此重要级别的欺骗漏洞影响所有平台。我们感谢 Falcon Force 与我们合作公开此漏洞并协助解决问题。
网络犯罪分子一直在寻找篡改安全保护的机会,以模糊、扰乱和阻断客户的防御。微软通过自身研究以及与安全社区的合作,持续努力击败这些技术,帮助客户保护环境并在攻击发生时保持可见性。在 3 月发布的安全更新中,我们通过解决攻击者在客户端与服务之间信息欺骗的能力,进一步增强了 Microsoft Defender for Endpoint 的鲁棒性。由于此漏洞影响所有平台,请应用我们发布的更新程序,就像处理其他安全更新一样。对于 Windows,更新程序包含在 3 月的累积更新中,因此如果启用了自动更新,则无需采取额外操作。如果自动更新被禁用,我们建议启用它。使用最新操作系统的客户可以通过新功能获得更强的保护。常见的部署方法如下:
| 发布渠道 | 可用性 | 后续步骤 |
|---|---|---|
| Windows Update 和 Microsoft Update | 是 | 无需操作:此更新将通过 Windows Update 自动下载和安装 |
| Windows Update for Business | 是 | 无需操作:此更新将根据配置的策略从 Windows Update 自动下载和安装 |
| Microsoft Update 目录 | 是 | 要获取此更新的独立包,请访问 Microsoft Update 目录网站 |
| Windows Server Update Services (WSUS) | 是 | 如果配置了以下设置,此更新将自动与 WSUS 同步:产品:Windows 11、Windows 10、Windows Server 2016、Windows Server 2019、Windows Server 2022;分类:安全更新。已终止支持的产品不会提供更新 |
| macOS 自动更新 | 是 | 有关自动或手动配置的信息,请参见此处 |
| Linux 更新程序 | 是 | 有关自动或手动配置的信息,请参见此处 |
| Google Play 商店 | 是 | 有关 Android 上更新程序的部署和配置信息,请参见此处 |
| Apple App 商店 | 是 | 有关 iOS 上更新程序的部署和配置信息,请参见此处 |
微软在发布时未发现利用此漏洞的攻击。除了安全更新程序外,微软还发布了恶意操作检测。客户应监控这些检测(列表如下),并参考威胁分析报告(需要许可证和访问权限)以了解风险或潜在恶意活动的迹象。
- 可疑客户端通信: 检测由设备欺骗或设备错误配置引起的可疑客户端通信。
建议客户尽快应用 3 月的安全更新程序。
有关安全更新程序的官方文档,请参见: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23278
2022 年 3 月安全更新程序(月度)– Microsoft Security Response Center