摘要

微软已获悉并正在积极应对2022年10月25日公布的OpenSSL漏洞影响，该漏洞已在3.0.7版本中修复。按照标准流程，我们正为受影响的服务推出修复程序。如需客户采取任何措施，将在本博客及相关安全更新指南中重点说明。建议自行管理环境的客户应用OpenSSL的最新安全更新作为最佳实践。强烈建议客户查看安全更新指南以了解可能需要采取的措施。

OpenSSL 3.0.7版本已于2022年11月1日全面可用，OpenSSL将CVE-2022-3602的严重等级从严重下调为高危。OpenSSL 3.0.7修复了两个漏洞（CVE-2022-3786和CVE-2022-3602），这些漏洞对执行证书验证的系统具有拒绝服务影响。攻击者可向在认证过程中解析证书的客户端或服务器发送恶意构造的证书，导致系统崩溃。目前该漏洞似乎无法可靠实现远程代码执行，且尚未发现被利用。

分析

拒绝服务漏洞源于一对缓冲区溢出，可在OpenSSL进行X.509证书验证时的名称约束检查过程中触发。缓冲区溢出发生在证书链验证之后，需要证书颁发机构签署恶意证书（这并非不可能），或者应用程序在未能构建到受信任颁发者的证书链时仍继续证书验证。

攻击者可通过在X.509证书中构造恶意电子邮件地址来利用该漏洞，导致栈溢出，进而引发崩溃和拒绝服务。

此漏洞影响TLS客户端和服务器。对于客户端，可通过连接恶意服务器触发；对于服务器，若其要求客户端证书认证且配置了恶意证书的客户端连接到服务器，则可触发漏洞。

缓解措施

目前唯一已知的缓解措施是升级至OpenSSL 3.0.7版本。

微软正在采取措施更新使用受影响OpenSSL 3.0-3.0.6版本的产品和服务。

建议使用受影响OpenSSL版本的客户升级至3.0.7版本。有关依赖OpenSSL 3.0-3.0.6且需要客户采取更新行动的微软产品和服务列表，请参阅微软安全更新指南。

客户可使用Microsoft Defender漏洞管理，通过导航至报告的端点暴露选项卡来跟踪其暴露情况和修补状态。

微软安全产品指南

Microsoft Defender for Cloud提供两项功能，可快速确定环境是否易受攻击，并帮助优先处理本博客中概述的操作。

Microsoft Defender漏洞管理使客户能够跟踪运行易受攻击OpenSSL版本的端点的暴露情况和修补状态。本博客概述了客户识别易受攻击资产并对其进行修补的步骤。

Microsoft Defender for Endpoint客户可在Microsoft 365 Defender门户中使用威胁分析功能，了解最新威胁形势，并通过Microsoft Defender漏洞管理获取发现易受攻击资产的指导。

Microsoft Defender外部攻击面管理持续发现并映射数字攻击面，提供在线基础设施的外部视图。通过利用漏洞和基础设施数据生成攻击面洞察，展示组织需关注的关键领域。已发布高危洞察，以呈现攻击面内运行OpenSSL 3.0-3.0.6版本的资产。请注意，我们的检测通过读取HTTP头在网站上效果良好，但其他远程协议不会公布其OpenSSL版本。由于可见性有限，强烈建议登录每个面向互联网的系统并运行“openssl version”命令以确定补丁级别。大多数Linux发行版尚未切换到OpenSSL 3，因此不受影响。