微軟4月Patch Tuesday修補128個安全漏洞，包含兩個零時差漏洞

微軟本周二的Patch Tuesday修補了128個安全漏洞，當中有10個屬於重大（Critical）漏洞，115個重要（Important）漏洞，以及3個中等（Moderate）漏洞，亦包含了CVE-2022-26904與CVE-2022-24521兩個零時差漏洞。

其中的CVE-2022-26904位於Windows User Profile Service，為一權限擴張漏洞，它是個已被公開的漏洞，但尚未被開採，至於CVE-2022-24521則是藏匿於Windows Common Log File System驅動程式的權限擴張漏洞，先前並未被公開，但已出現實際的開採行動。不過，這兩個漏洞都只被列為重要漏洞。

此次微軟所修補的重大漏洞中，有3個CVSS的風險評分高達9.8，它們分別是CVE-2022-26809、CVE-2022-24491與CVE-2022-24497，其中，CVE-2022-26809存在於遠端程序呼叫（Remote Procedure Call，RPC）Runtime中，駭客只要傳送一個特製的RPC呼叫至RPC主機，就可能自遠端以該RPC權限於伺服器上執行程式，微軟建議企業可關閉邊界防火牆的445 TCP埠來緩解該漏洞。

而CVE-2022-24491與CVE-2022-24497皆涉及Windows網路檔案系統，僅波及啟用NFS角色的系統，駭客只需傳送一個特製的NFS協定網路訊息至Windows機器，就能執行遠端程式攻擊，而且無需使用者互動。

值得注意的是，微軟在本月修補了18個有關Windows DNS Server的安全漏洞，趨勢科技旗下的Zero Day Initiative（ZDI）團隊認為當中最嚴重的是CVE-2022-26815，猜測它可能是微軟2月沒能完全修補CVE-2022-21984的結果，因而呼籲Windows用戶應該正視並儘快修補該漏洞。