2022年中国工业互联网安全态势报告.docx

2022年中国工业互联网安全态势报告第一章2022年中国工业互联网安全发展现状11.1 产业发展概述11.2 安全发展现状1第二章2022年国内外工业安全政策与标准32.1 国内相关政策与标准32.1.1 国内相关政策32.1.2 国内标准建设62.2 国外相关政策与标准72.2.1 国外工业安全相关法案72.2.2 国外工业安全相关政策82.2.3 国外工业安全行动计划92.2.4 国外工业安全相关标准10第三章2022中国工业互联网安全威胁统计103.1 工业互联网设备安全威胁统计103.1.1 一L：业：机女风R'Z103.1.2 工业控制设备安全风险203.1.3 数控设备安全风险243.1.4 工业机器人安全风险293.1.5 工业物联网设备安全风险353.2 工业互联网网络威胁统计403.2.1 工业互联网通用网络威胁403.2.2 标识解析系统安全威胁433.3 工业互联网平台安全威胁统计503.3.1 工业互联网平台安全风险概述503.3.2 工业互联网平台安全威胁统计523.4 工业APP的安全风险533.4.1 工业APP安全风险概述533.4.2 工业APP安全威胁统计543.5 工业数据安全风险593.5.1 数据安全风险概述593.5.2 数据安全威胁统计613.6 工业互联网软件供应链安全威胁统计623.6.1 软件供应链安全风险概述623.6.2 软件供应链安全威胁统计64第四章2022年重点工业互联网安全事件714.1 2022年国内外典型工业安全事件统计714.2 2022年国内工业互联网安全事件统计分析824.2.1 工业互联网安全事件统计824.2.2 工业安全事件受害者分析834.2.3 工业安全事件攻击者分析854.3 2022年重点安全事件分析874.3.1 INCONTROLLER攻击分析874.3.2 2022年勒索病毒攻击分析103第五章中国重点行业工业互联网安全案例1205.1.1 智能油库工业控制系统网络安全建设1205.1.2 装备制造行业一体化安全运营建设1385.1.3 基于IT与OT融合安全的钢铁行业网络安全防御体系151第六章中国工业互联网安全发展趋势1656.1 工业互联网企业网络安全分类分级管理工作将进一步凸显成效1656.2 工业互联网安全标准体系日趋成熟完善并进一步指导安全建设1656.3 工业互联网安全深度行活动将有效带动地方安全保障能力提升1666.4 工业互联网供应链安全进一步提升并促进国产化安全系统成熟1666.5 工业互联网相关企业网络安全建设将进一步推动工业生产发展1676.6 工业互联网安全实战演练将继续进行并有效促进安全能力建设167附录168附录一：国内外工业安全相关政策一览表168附录二：国内外工业安全相关标准一览表171第一章2022年中国工业互联网安全发展现状1.1 产业发展概述2022年，在政产学研用等各方的共同努力之下，中国工业互联网保持强劲发展势头，不断取得新突破新成绩，工业互联网发展迈上了新台阶。总体来看，当前中国工业互联网的发展呈现如下特点：一是基础设施建设稳步推进。网络、平台、安全三大体系建设持续完善。标识解析体系建设取得标志性成果，5+2国家顶级节点全面建成，二级节点实现了31省（区、市）全覆盖，服务企业23万家；有影响力的平台达到240个，跨行业跨领域工业互联网平台服务企业数突破720万家；工业互联网安全深度行活动深入推进，千余家企业积极开展分类分级安全管理实践，发现、处置安全风险，企业安全防护水平得到提升。二是融合应用实践日益活跃。推动工业互联网在45个国民经济大类广泛应用，推动“5G+工业互联网”在飞机、船舶、汽车、电子、能源、采矿等一大批国民经济支柱产业加快普及，成为我国5G规模商用和产业数字化的“新名片”。发布了5G全连接工厂建设指南，目前全国在建的5G全连接工厂已经超过700个，借助试点示范工作遴选出一批标杆试点，加速5G由生产外围向核心控制环节延伸。三是产业供给能力显著增强。工业互联网产业加快壮大，规模预计达到1.2万亿。时间敏感网络、边缘计算、工业大数据等新技术加快创新，工业5G芯片/模组/网关等关键产品面世并实现商用，我国工业级5G产品设备已超过170款，模组价格较商用初期下降80乐厂商数量占全球80虬我国企事业单位积极制定国际标准，发布一批国家标准、行业标准、团体标准。1.2 安全发展现状2022年，我国工业互联网安全行业业得到进一步的发展，工业互联网安全政策和标准日益完善，工业互联网企业网络安全分类分级管理试点工作有序开展，垂直行业工业信息安全建设提速。工业互联网产业在得到发展的同时必然会带来网络安全的问题，随着网络攻击的敏捷化和产业化，网络攻击成本在不断降低，攻击方式也更加先进，在工业领域，供应链攻击、勒索软件攻击、地缘政治相关黑客攻击等网络威胁持续上升，与之对应的是，“国家一地方一企业”三级联动工业互联网安全监测服务体系正在不断形成并逐步成熟中。2022年，国家工业互联网安全态势感知与监测预警平台累计监测发现各类网络攻击7975.4万次，同比增长超过23.9%,遭受网络攻击企业累计超L8万家，同比增长50.9%。从网络攻击类型分析，2022年以僵尸网络感染、非法外联通信、木马后门感染等为主，占比分别为41.1乐20.5%,15%,合计占网络攻击总数的76.6%,是当前工业互联网网络侧面临的主要安全威胁。漏洞利用攻击数量增幅超两倍，从利用的漏洞来看，以远程代码执行、命令注入等漏洞类型为主;暴力破解攻击企业数量增幅近五成，数据泄露风险加剧；受控主机数量同比增幅超五成，远程命令和控制服务器多数位于境外；挖矿木马感染行为数量同比下降14.诙，被感染主机主要分布在山东、湖北、江苏、内蒙、安徽等省市。2022年累计监测发现来自境外IP的网络攻击占网络攻击总数的62.3%,同比增长超两成，主要来自于美国、加拿大、德国等国家，其中来自美国的网络攻击数量最多，占境外网络攻击总数的10.7机从被攻击的行业来看，电子信息制造业仍是网终攻击热点行业，以僵尸网络感染、非法外联通信、漏洞利用行为为主，针对汽车制造业的网络攻击增幅近三倍，以僵尸网络感染、木马后门感染、非法外联通信行为为主;针对原材料工业的网络攻击数量占比达16.8%,僵尸网络感染、非法外联通信和木马后门感染是该行业面2临的主要威胁。工业互联网安全企业、工业互联网企业以及行业监管部门针对重点行业领域的突出安全问题，聚焦于解决问题，涌现了很多优秀的解决方案和应用案例。2023年2月13日，工业和信息化部信息通信管理局公布2022年工业互联网试点示范公示名单，涉及工厂类、载体类、园区类、网络类、平台类、安全类六大类20个具体方向，其中工业互联网安全类的试点示范项目有29个。第二章2022年国内外工业安全政策与标准2.1 国内相关政策与标准2.1.1 国内相关政策为进一步压实新能源汽车企业安全主体责任，指导企业建立健全安全保障体系，工业和信息化部、公安部、交通运输部、应急管理部、国家市场监督管理总局等五部门于2022年4月8日，共同发布了关于进一步加强新能源汽车企业安全体系建设的指导意见。5月13日，工业和信息化部办公厅发布关于开展工业互联网安全深度行活动的通知，深度行活动包括分类分级管理、政策标准宣贯、资源池建设、应急演练、人才培训、赛事活动等6项内容。其中，分类分级管理和政策标准宣贯2项为必须内容，各地可结合实际从其他4项中至少选择2项作为特色活动内容。7月7日，国家互联网信息办公室公布数据出境安全评估办法，自2022年9月1日起施行，旨在落实网络安全法数据安全法个人信息保护法的规定,规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，切实以安全保发展、以发展促安全。8月23日，为规范公路水路关键信息基础设施安全保护管理，落实关键信息基础设施安全保护工作责任，交通运输部起草并发布关于公路水路关键信息基础设施安全保护管理办法（征求意见稿）公开征求意见的通知，面向社会公开征求意见。9月6日，工业和信息化部印发5G全连接工厂建设指南。其中，安全方面指出，结合生产安全需求，围绕设备、控制、网络、平台和数据等关键要素，构建多层级网络安全防护体系;做好安全应急预案，阶段性开展安全检测评估，提升网络安全监测水平，确保网络运行平稳，提高安全威胁发现、快速处置和应急响应能力。推进企业全面落实工业互联网企业网络安全分类分级管理相关政策与标准，提升设备、控制、网络、平台和数据等安全防护能力；加大网络安全投入，明确责任部门和责任人，建立健全监测预警、数据上报、应急响应、风险评估等安全机制。9月14日，国家互联网信息办公室会同相关部门起草了关于修改中华人民共和国网络安全法的决定（征求意见稿），面向社会公开征求意见。指出网络安全法自2017年施行以来，为维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，提供了有力法律保障。同时，为适应新形势，行政处罚法、数据安全法、个人信息保护法等法律于2021年相继修订制定实施。9月16日，工业和信息化部司公开征求对国家车联网产业标准体系建设指南（智能网联汽车）（2022年版）（征求意见稿）的意见。其中，通用规范标准中提出了网络安全与数据安全。汽车网络安全标准以车端为核心运用纵深防御理念保护其免受网络攻击或缓解网络安全风险，主要包括安全保障类与安全技术类标准；汽车数据安全标准用于确保智能网联汽车数据处于有效保护和合法利用的状态并具备保障持续安全状态的能力，主要包括数据通用要求、数据安全要求、数据安全管理体系规范、数据安全共享模型和架构等标准。9月26日，工业和信息化部办公厅发布关于组织开展2022年工业互联网试点示范项目申报工作的通知，围绕工厂类、载体类、园区类、网络类、平台类、安全类6类22个具体方向，组织开展2022年工业互联网试点示范项目申报工作，遴选一批工业互联网试点示范项目。10月10日，工业和信息化部、应急管理部联合发布了“工业互联网+安全生产”行动计划（2021-2023年）。提出到J2023年底，工业互联网与安全生产协同推进发展格局基本形成，工业企业本质安全水平明显增强。一批重点行业工业互联网安全生产监管平台建成运行，“工业互联网俵全生产”快速感知、实时监测、超前预警、联动处置、系统评估等新型能力体系基本形成，数字化管理、网络化协同、智能化管控水平明显提升，形成较为完善的产业支撑和服务体系，实现更高质量、更有效率、更可持续、更为安全的发展模式。10月28日，工业和信息化部发布道路机动车辆生产准入许可管理条例（征求意见稿），明确提出智能网联汽车生产企业应当建立车辆产品网络安全、数据安全、个人信息保护、车联网卡安全管理、软件升级管理制度，完善安全保障机制，落实安全保障措施，明确责任部门和负责人，落实安全保护责任。此外,智能网联汽车生产企业应当定期开展车辆产品网络和数据安全风险评估，加强安全风险监测，制定应急预案。12月2日，中共中央国务院发布关于构建数据基础制度更好发挥数据要素作用的意见，提出建立保障权益、合规使用的数据产权制度；合规高效、场内外结合的数据要素流通和交易制度；体现效率、促进公平的数据要素收益分配制度以及安全可控、弹性包容的数据要素治理制度，构建政府、企业、社会多方协同的治理模式。12月8日，工业和信息化部印发工业和信息化领域数据安全管理办法（试行）,主要内容包括七个方面：一是界定工业和信息化领域数据和数据处理者概念，明确监管范围和监管职责。二是确定数据分类分级管理、重要数据识别与备案相关要求。三是针对不同级别的数据，围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节，提出相应安全管理和保护要求。四是建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制。五是明确开展数据安全监测、认证、评估的相关要求。六是规定监督检查等工作要求。七是明确相关违法违规行为的法律责任和惩罚措施。12月8日，工业和信息化部办公厅发布关于组织开展工业互联网安全深度行活动典型案例和成效突出地区遴选工作的通知。面向实施工业互联网企业网络安全分类分级管理的联网工业企业、工业互联网平台企业和工业互联网标识解析企业，征集遴选一批安全防护举措有效、安全能力提升显著、具备可复制可推广价值的分类分级管理典型案例。面向各地工业和信息化主管部门、通信管理局等深度行活动组织单位，遴选一批做法创新有效、活动成效突出的先进地区。2.1.2 国内标准建设2022年，我国在工业互联网综合标准化体系建设指南（2021版）和工业互联网安全标准体系（2021年）基础上，持续开展工业互联网安全标准研制工作，深入推动分类分级安全防护、安全管理和安全应用服务标准等重点方向标准研制，并按需对关键要素相关标准“查漏补缺”。全国通信标准化技术委员会（TC485）/中国通信标准化协会（CCSA）、全国信息安全标准化技术委员会（SAC/TC260）,工业互联网产业联盟（An）及其他标准组织持续推动开展工业互联网安全标准研制工作，并取得积极进展。以工业互联网企业网络安全分类分级管理为基础，中国信通院依托"CCSATCl3/WG5安全”持续推动工业互联网企业网络安全第1部分：应6用工业互联网的工业企业防护要求工业互联网企业网络安全第2部分：平台企业防护要求工业互联网企业网络安全第3部分：标识解析企业防护要求工业互联网企业网络安全第4部分：数据防护要求4项“工业互联网企业网络安全”系列国家标准研制并取得阶段性成果，均进入标准送审阶段。完善分类分级管理配套标准规范，工业互联网平台企业网络安全定级方法工业互联网标识解析企业网络安全定级方法等标准正在征求意见，工业互联网平台企业的网络安全评估指南应用工业互联网的工业企业网络安全评估指南工业互联网平台企业的网络安全防护能力评价方法工业互联网企业数据安全防护评价方法等标准已完成立项。聚焦工业互联网关键核心要素，工业APP安全防护通用要求工业互联网边缘计算平台安全防护要求等标准已进入送审阶段，工业互联网数据采集终端设备安全要求工业互联网设备上云安全技术要求等标准已完成立项。面向典型行业场景，推动工业互联安全标准向行业加速落地应用。面向家电制造行业的5G+工业互联网应用安全技术要求建材行业工业互联网企业的网络安全分类分级防护要求面向钢铁生产的5G+工业互联网应用安全技术要求等标准正在征求意见，船舶行业工业互联网企业的网络安全分类分级防护要求面向船舶的5G+工业互联网应用安全技术要求面向航空航天装备制造的5G+工业互联网应用安全技术要求面向矿山的5G+工业互联网应用安全技术要求等标准已完成立项。2.2 国外相关政策与标准2.2.1 国外工业安全相关法案2023年3月，美国参议院通过网络安全法案，要求关键基础设施组织在72小时内向基础设施与网络安全局报告网络攻击，确保电网、供水网络和交通系统等关键基础设施实体能够在网络遭到破坏的情况下迅速恢复。6月，加拿大提出名为尊重网络安全法的新法案，以加强其在金融、电信、能源和运输行业的网络安全，强制要求有关单位采取措施以应对发现的网络安全威胁或漏洞，扩大了网络威胁信息共享的范围，加强私营部门与政府之间的合作。8月，美国拜登总统签署芯片和科学法案，授权数十亿资金用于技术创新和供应链体系，以帮助大幅提高美国制造业半导体的生产，并最终加速纳米技术、量子计算、人工智能和其他新兴技术的创新，助力保障国家安全。9月，欧盟委员会发布一项关于“网络弹性法案”的提案，专门针对具有数字元素产品的横向网络安全要求，要求“具有数字元素的产品”（即“任何软件或硬件产品及其远程数据处理解决方案”）的任何制造商需满足法规的最低网络安全要求，以便能够将该产品投放欧盟市场，将涉及所有物联网设备。2.2.2 国外工业安全相关政策2023年2月，日本国家网络安全应急响应和战略中心发布网络安全战略，在5G和物联网安全方面，将制定指导方针提升物联网、5G等新技术应用和实施的安全性。2月，美国能源部发布美国为实现清洁能源强劲转型而确保供应链安全的战略，列出数十项关键战略，致力于建立安全、有弹性和多样化的能源部门工业基础。5月，美国拜登政府签署一项新的政策指令，重点是将量子计算技术纳入美国网络安全基础设施和政策环境，以保护美国基础设施免受未来量子计算机的侵害。9月，美国网络安全与基础设施安全局发布自2018年成立以来的首份战略计划2023-2025战略计划，明确牵头全面提升国家网络空间的防御能力和弹性、降低美关键基础设施的安全风险增强弹性、提高国家整体的网络安全协同力和信息共享水平、加强团队能力建设等四大重点工作领域。10月，美国白宫将在通信、水资源与医疗保健三大关键基础设施行业推行新规定，由各级联邦机构执行，环境保护署将审查现有法规，借此保障水资源基础设施的物理与网络安全。10月，美国运输安全管理局发布加强铁路网络安全-SD1580/82-2022-01指令，指令对客运和货运铁路运营商的网络安全提出了多项要求，要求对指定的客运和货运铁路运营商实施监管，通过基于绩效指标的措施增强网络安全弹性，进一步加强国家铁路运营的网络安全预防与弹性水平。2.2.3 国外工业安全行动计划2023年2月，美国能源部规划新的电力网络安全提升方案，包括使用资金激励、采用安全监测技术、组建能源威胁分析中心等。4月，美国网络安全和基础设施安全局扩大了其联合网络防御协作计划，涉及工业控制系统相关安全供应商、集成商和分销商等，旨在通过公共和私营部门的合作来保护美国的关键基础设施部门。2.2.4 当局批准确保关键设施网络安全的计划，要求基础设施所有者与政府合作，确保电信中心、发电厂和铁路线等关键基础设施免受网络攻击。6月，美国能源部开始接受清洁能源网络安全加速器计划的申请，寻求分布式能源资源的认证解决方案，以保护可再生能源系统免受高优先级网络风险的影响。10月，美国白宫国家安全委员会宣布一项消费品网络安全标签计划，旨在改善对互联网连接设备的数字保护，该计划首先推荐三到四个网络安全标准，制造商可以将这些标准用作标签的基础，用于防范物联网设备相关的风险。2.2.5 国外工业安全相关标准2023年3月初，欧盟网络安全局和欧洲铁路信息共享与分析中心发布关于为铁路系统建立网络安全区和管道的指南，旨在实施铁路系统分区、强化管道系统网络安全防护，并加强相关方合作共同分析威胁、漏洞、解决方案等。9月，美国交通安全局发布车辆网络安全最终指南，重点关注加密技术，添加了有关关键系统和加密元素的更多细节，以及攻击者如何使用软件更新渗透车辆的网络；鉴于汽车行业组织结构的多样性，建议不同的供应商和制造商采用不同的网络安全威胁级别。9月，美国国家安全局和网络安全与基础设施安全局发布了一份网络安全咨询指南，重点介绍了恶意行为者通常采取的破坏运营技术/工业控制系统资产的攻击步骤，并提供了限制系统信息的暴露、识别和保护远程接入点、限制工具和脚本、定期进行安全审核、实现动态网络环境等有关建议。11月，美国网络安全和基础设施安全局、国家安全局和国家情报总监办公室发布面向客户的软件供应链安全实践指南，提出客户在购买、部署和使用软件时应该遵循的要求，并提供了相关攻击场景和缓解措施。第三章2022中国工业互联网安全威胁统计3.1 工业互联网设备安全威胁统计3.1.1 工业主机安全风险3.1.1.1 工业主机安全风险概述随着企业信息网络的深入应用与日臻完善，现场控制信息进入信息网络实现实时监控是必然的趋势。为提高企业的社会效益和经济效益，许多企业都在尽力建立全方位的管理信息系统，它必须包括生产现场的实时数据信息，以确保实时掌握生产过程的运行状态，使企业管理决策科学化，达到生产、经营、管理的最优化状态。在此趋势下，越来越多的工业主机应用到了工业环境中。这些工业主机都使用通用操作系统(Windows或LinUx),据不完全统计，在工业环境里，Windows操作系统仍然占据了工业企业服务器和工业内网主机中的绝大多数。工业主机安全风险主要集中在工程师站、操作员站、嵌入式终端，其中嵌入式终端面临的安全威胁既包括网络攻击，也包括自身及其通信网络的物理性故障，而其可能遭受的网络攻击与其脆弱性紧密相关。嵌入式终端存在于工业生产、辅助制造、生产监测以及物流调度等各个环节中，种类繁多且通信网络环境和协议各异，不同类型终端面临的安全威胁不同，遭受网络攻击或发生故障时对工业互联网造成的影响差别也很大。随着黑客水平的不断提高，攻击工具的泛滥，企业网络日益开放大量工业主机暴露在互联网上，操作系统的漏洞风险被无限放大，会对工业企业的正常生产经营造成无法估量的威胁。统计显示，未来勒索软件将成为工控系统的主要威胁之一。越来越多的勒索软件组织开始将数据盗窃和勒索操作纳入其攻击技术中，与通过泄露知识产权和其他关键数据破坏操作相比，勒索软件带来的影响和损失可能更大。未来工业互联网主机安全风险依然严峻。3.1.1.2 工业主机安全威胁统计工业互联网产业联盟安全组会员单位360安全能力中心在2022年共截获病毒样本总量12.34亿个，病毒感染次数948.46亿次。其中木马病毒3.91亿个，为第一大种类病毒，占到总体数量的歌；排名第二的为感染型病毒，数量为L93亿个，占总体数量的18机排名第三的为蠕虫病毒，数量为1.57亿个，占总体数量的15%；排名第四的为广告软件，数量为0.69亿个，占总体数量的跳；排名第五的为下载者木马，数量为0.58亿个，占总体数量的5%；勒索、远控木马、盗号木马、间谍木马、释放器木马等病毒，分别占总体数量的5%、5%、5%、3%和2%。木为感染量病毒挺虫病毒广告软件图3-12022年病毒类型统计图3-22022年病毒感染地域分布（单位：亿次）其中勒索软件感染次数按地域分析，广东省排名第一，为3.26千万次,第二为浙江省2.52千万次，第三为河南省L78千万次，江苏省为1.74千万次。图3-32022年勒索软件感染地域分布（单位：千万次）勒索病毒的泛滥形式严峻，工业环境仍然面临较大威胁，工业用户需要做好必要的安全防控措施。2020-2022年勒索感染地域对比统计2022年2021年2020年图3-42020-2022年勒索软件感染地域对比统计（单位：千万次）3.1.1.3 2022年工业主机典型漏洞说明以下是2022年内发现的WindoWS操作系统典型漏洞。3.1.1.3.1 CVE-2022-41080/41082:MicrosoftExchangeServerOWASSRF漏洞2022年12月27日，360CERT监测发现MiCroSoftExchangeServerCVE-2022-41080和CVE-2022-41082的漏洞细节在互联网公开,漏洞等级:高危，漏洞评分：8.8o目前这两个漏洞的POC和EXP也在互联网公开。MicrosoftExchangeServer是个消息与协作系统。Exchangeserver可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。ExchangeSerVer还是一个协作平台。用户可以在此基础上开发工作流，知识管理系统，Web系统或者是其他消息系统。3.1.1.3.2 CVE-2022-34721:WindowsIKE协议扩展远程代码执行漏洞2022年11月29日，360CERT监测发现有攻击者正在积极利用WindoWSIKE协议扩展远程代码执行漏洞，漏洞编号为CVE-2022-34721,漏洞等级：严重，漏洞评分：9.8oIKE属于一种混合型协议，由Internet安全关联和密钥管理协议(ISAKMP)和两种密钥交换协议OAKLEY与SKEME组成。3.1.1.332022-11补丁日：微软多个漏洞安全更新2022年11月08日，微软发布了2022年11月份安全更新，事件等级：严重，事件评分：10.0。此次安全更新发布了64个漏洞的补丁，主要覆盖了以下组件：MicrosoftWindowsandWindowsComponents;AzureandAzureRealTimeOperatingSystem;MicrosoftDynamics;ExchangeServer;OfficeandOfficeComponents;SysInternals;VisualStudio;SharePointServer;NetworkPolicyServer(NPS);WindowsBitLocker;LinuxKernel和OPenSourceSOftWare等等。其中包含11个严重漏洞，53个高危漏洞。在此次更新中，微软也修复了影响MicrosoftExchangeServer2019>2016和2013的两个被称为PrOXyNotSheII的漏洞，发表在KB5019758安全更新中，这两个漏洞的CvE编号为：CVE-2022-41040CVE-2022-41082oCVE-2022-41091:WindowsWeb标记（MoTW）安全功能绕过漏洞该漏洞存在于WindoWSWeb标记（MOTW）安全功能中，是一个安全特性绕过漏洞。攻击者可以制作一个触发漏洞的恶意文件，并通过恶意网站/电子邮件/即时消息进行传递。攻击者可以诱使用户点击恶意链接，向用户发送恶意文件或将用户链接到恶意网站，用户点击恶意链接或者打开恶意文件时能绕过Web查询标记。该漏洞已检测到在野利用。CVE-2022-41082:MicrosoftExchangeServer远程代码执行漏洞该漏洞存在于MiCroSoftExchangeServer,是一个远程代码执行漏洞。经过身份验证的攻击者可利用此漏洞在目标系统上执行任意代码。该漏洞已检测到在野利用。CVE-2022-41040:MicrosoftExchangeSerVer特权提升漏洞该漏洞存在于MiCrOSOftExchangeServer,是一个权限提升漏洞。经过身份认证的远程攻击者可利用此漏洞绕过相关安全特性，获得在系统上下文中运行PowerShell的权限，在目标系统中执行任意代码。该漏洞已检测到在野利用。CVE-2022-41128:Windows脚本语言远程代码执行漏洞该漏洞存在于WindOWS脚本语言中，是一个远程代码执行漏洞。要利用此漏洞，攻击者需要引诱用户访问特制网站或服务器，从而在受影响的系统上以登录用户的级别执行任意代码。该漏洞正被广泛利用中。CVE-2022-41073:WindowsPrintSpooler特权提升漏洞该漏洞存在于WindOWSPrintSPOOIer中，是一个权限提升漏洞。经过身份认证的攻击者可以利用此漏洞将低权限提升至系统级（SYSTEM）权限。15该漏洞正被广泛利用中。CVE-2022-41125:WindoWSCNG密钥隔离月员务特权提升漏洞该漏洞存在于WindOWSCryptographyNextGeneration(CNG)KeyIsolationService中，是一个特权提升漏洞。经过身份认证的攻击者可以利用此漏洞将权限提升至系统级(SYSTEM)权限。该漏洞已检测到在野利用。对此，360CERT建议广大用户做好资产自查以及预防工作，以免遭受黑客攻击。3.1.13.42022-10补丁日:微软多个漏洞安全更新2022年10月12日，微软发布了2022年10月份安全更新，事件等级：严重，事件评分：10.0。此次安全更新发布了96个漏洞的补丁，主要覆盖了以下组件：ActiveDirectoryDomainServices、MicrosoftEdge(Chromium-based)、MicrosoftOfficeNVisualStudioCode、WindowsActiveDirectoryCertificateServices、WindowsDefenderWindowsGroupPolicyWindowsInternetKeyExchange(IKE)Protocol、WindowsKernel>WindowsLocalSecurityAuthority(LSA)>WindowsWorkstationServic等等。其中包含15个严重漏洞，73个高危漏洞,5个中危漏洞,3个低危漏洞。微软本次的安全更新包含2个OClay漏洞，其中CVE-2022-41033(WindowsCOM+事件系统服务特权提升漏洞)已发现被积极利用，CVE-2022-41043(MicrosoftOffiCe信息泄露漏洞)已公开披露。CVE-2022-41033:WindowsCOM+事件系统服务特权提升漏洞该漏洞存在于WindOWSCOM+事件系统服务中，是一个权限提升漏洞。该漏洞攻击复杂性低，攻击者无需用户交互即可获得SYSTEM权限。攻击者可利用该漏洞与旨在接管系统的其他代码执行漏洞配对，并结合社会工程进行攻击。从Windows7和WindowsServer2008开始的所有Windows版本都存在漏洞。CVE-2022-37987:Windows客户端服务器运行时子系统(CSRSS)特权提升漏洞该漏洞存在于WindOWS客户端服务器运行时子系统(CSRSS)中，是一个特权提升漏洞。攻击者可通过欺骗CSRSS从不安全的位置加载依赖信息来进行攻击，目前，这种攻击方式较为新颖。CVE-2022-37989:Windows客户端服务器运行时子系统(CSRSS)特权提升漏洞该漏洞存在于WindoWS客户端服务器运行时子系统(CSRSS)中，是一个特权提升漏洞，是由于CSRSS在接受来自不受信任进程的输入时过于宽松造成的。CVE-2022-37989是CVE-2022-22047的失败补丁，目前存在在野利用。CVE-2022-37968:Kubernetes集群特权提升漏洞该漏洞存在于支持AzureArc的Kubernetes集群中，是一个特权提升漏洞。攻击者一旦知道为启用AzureArc的Kubernetes集群随机生成的DNS端点，就可以远程利用该漏洞，获得对支持AzureArc的Kubernetes集群的管理控制。CVE-2022-38048:MicrosoftOffice远程代码执行漏洞该漏洞存在于MiCrOSOftOffiCe中，是一个特权提升漏洞。该漏洞涉及用户交互，攻击者可利用该漏洞将任意指针传递给自由调用，并进一步导致内存损坏。对此，360CERT建议广大用户做好资产自查以及预防工作，以免遭受黑客攻击。3.1.13.52022-09补丁日：微软多个漏洞安全更新2022年09月13日，微软发布了2022年9月份安全更新，事件等级：严重，事件评分：10.O0此次安全更新发布了64个漏洞的补丁，主要覆盖了以下组件：MicrosoftWindowsandWindowsComponents、AzureandAzureArc、.NETandVisualStudioand.NETFrameworksMicrosoftEdge(Chromium-based)>OfficeandOfficeComponents>WindowsDefendersLinuxKMneI等等。其中包含5个严重漏洞，57个高危漏洞，1个中危漏洞，1个低危漏洞。CVE-2022-37969:Windows通用日志文件系统驱动程序特权提升漏洞该漏洞存在于通用日志文件系统(CLFS)中，允许经过普通身份验证的攻击者，提升到高权限账户并进行恶意代码。该漏洞已存在在野利用。CVE-2022-34718:WindowsTCP/IP远程代码执行漏洞该漏洞允许未经身份验证的远程攻击者在无需用户交互的情况下，通过将特制的IPv6数据包发送到启用了IPSeC的Windows节点，从而在受影响的系统上以高权限账户执行代码。只有启用了IPv6并配置了IPSeC的系统易受攻击。CVE-2022-34724:WindowsDNS服务器拒绝服务漏洞该漏洞存在于WindoWSDNS服务器中，未经身份验证的远程攻击者可以造成拒绝服务(DOS)。该漏洞可能对企业资源产生影响。CVE-2022-3075:Chrome代码执行漏洞由于MOjO中数据验证不足，攻击者可通过多种方式诱导用户访问恶意的链接来利用此漏洞，成功利用此漏洞的远程攻击者可绕过安全限制，在服务器上执行任意代码。对此，360CERT建议广大用户做好资产自查以及预防工作，以免遭受黑客攻击。3.1.1.3.62022-08补丁日：微软多个漏洞安全更新2022年08月09口，微软发布了2022年8月份安全更新，事件等级：严重，事件评分：10.0。此次安全更新发布了121个漏洞的补丁，主要覆盖了以下组件：MicrosoftOfficeOutlook、MicrosoftOfficeExcel、ActiveDirectoryDomainServices、WindowsKerberos、WindowsStorageSpacesDirect、WindowsPrintSpoolerComponents、WindowsNetworkFileSystem、WindowsLocalSecurityAuthority(LSA)、WindowsDefenderCredentialGUard等等。其中包含17个严重漏洞，103个高危漏洞，1个中危漏洞。CVE-2022-34713:MicrosoftWindows支持诊断工具(MSDT)远程执行代码漏洞该漏洞别称“DogWalk"，存在于MiCroSoftWindows支持诊断工具(MSDT)中。当使用从调用应用程序(通常是MicrosoftWord)的URL协议调用MSDT时，允许执行任意代码。攻击者需要利用社会工程方法，说服用户单击链接或打开文档。该漏洞的PoC及技术细节已在互联网公开，且已经检测到在野利用。CVE-2022-35804:SMB客户端和服务器远程执行代码漏洞该漏洞存在于MiCroSoft服务器消息块3.1.1(SMBv3)协议中。存在该漏洞的服务器端将允许未经身份验证的远程攻击者在受影响的SMB服务器上以提升的权限执行代码。该漏洞仅影响WindOWS11,启用了SMB服务器的Windows11系统之间可能会发生蠕虫攻击。建议用户禁用SMBv3压缩。CVE-2022-21980:MicrosoftExchangeServer特权提升漏洞该漏洞存在于MiCroSOftExchangeSerVer中，是访问限制不当造成的。该漏洞允许经过身份验证的攻击者接管所有Exchange用户的邮箱，进而从Exchange服务器上的任何邮箱读取和发送电子邮件或下载附件。建议管理员启用扩展保护。