2022年5月微软漏洞安全更新含3个0day漏洞等75个

　　近日，安全狗应急响应中心监测到微软发布了2022年5月的例行安全更新公告，共涉及包括3个0day漏洞在内漏洞数75个，严重级别漏洞8个，高危级别66个。本次发布涉及Visual Studio、Microsoft Exchange Server、Microsoft Office、Windows Active Directory、Remote Desktop Client、Windows Kernel、Windows Server Service等多个软件的安全更新。

　　漏洞描述

　　部分重点漏洞如下所示，更多漏洞信息可从参考链接的官方通告获取。

　　微软本次共修复了3个0 day漏洞，这些漏洞均已公开披露，其中CVE-2022-26925已知被利用。

　　1、CVE-2022-26925：Windows LSA欺骗漏洞

　　未经身份验证的攻击者可以调用LSARPC接口上的方法并强制域控制器使用NTLM对攻击者进行身份验证。当此漏洞与针对Active Directory证书服务(AD CS)的NTLM中继攻击结合使用时，该漏洞的CVSS评分将为9.8。目前此漏洞已公开披露，且已检测到漏洞利用。

　　2、CVE-2022-22713：Windows Hyper-V拒绝服务漏洞

　　此漏洞无需与用户交互即可本地利用，但攻击复杂度高，成功利用此漏洞需要赢得竞争条件。此漏洞已公开披露，目前暂未发现被利用。

　　3、CVE-2022-29972：Insight软件Magnitude Simba Amazon Redshift ODBC驱动程序命令执行漏洞

　　该漏洞存在于用于连接Amazon Redshift的第三方ODBC数据连接器、Azure Synapse Pipelines中的集成运行时(IR)和Azure数据工厂中，并且可能允许攻击者跨集成运行时执行远程命令。此漏洞已公开披露，目前暂未发现被利用。

　　安全通告信息

　　漏洞名称：微软多个漏洞安全更新

　　漏洞影响版本如下：

　　-Microsoft Exchange Server

　　-Microsoft Graphics Component

　　-Microsoft Local Security Authority Server(lsasrv)

　　-Microsoft Office

　　-Microsoft Office Excel

　　-Microsoft Office SharePoint

　　-Microsoft Windows ALPC

　　-Remote Desktop Client

　　-Role:Windows Fax Service

　　-Role:Windows Hyper-V

　　-Self-hosted Integration Runtime

　　-Tablet Windows User Interface

　　-Visual Studio

　　-Visual Studio Code

　　-Windows Active Directory

　　-Windows Address Book

　　-Windows Authentication Methods

　　-Windows BitLocker

　　-Windows Cluster Shared Volume(CSV)

　　-Windows Failover Cluster Automation Server

　　-Windows Kerberos

　　-Windows Kernel

　　-Windows LDAP-Lightweight Directory Access Protocol

　　-Windows Media

　　-Windows Network File System

　　-Windows NTFS

　　-Windows Point-to-Point Tunneling Protocol

　　-Windows Print Spooler Components

　　-Windows Push Notifications

　　-Windows Remote Access Connection Manager

　　-Windows Remote Desktop

　　-Windows Remote Procedure Call Runtime

　　-Windows Server Service

　　-Windows Storage Spaces Controller

　　-Windows WLAN Auto Config Service

　　漏洞危害等级：高危

　　厂商是否已发布漏洞补丁：是

　　官方安全建议：

　　安装最新版本:安装微软2022年5月最新补丁

　　修复建议：

　　官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本

　　https://msrc.microsoft.com/update-guide/releaseNote/2022-May

　　【备注】：建议您在升级前做好数据备份工作，避免出现意外。