Microsoft heeft vandaag zijn eerste Patch Tuesday-uitrol van 2022 uitgebracht, die oplossingen voor 96 CVE's met zich meebracht. Negen van de kwetsbaarheden worden kritiek genoemd en zes zijn algemeen bekend, hoewel geen enkele wordt vermeld als actief aangevallen.
De producten die in de release van deze maand worden beïnvloed, zijn onder meer Microsoft Windows, de Edge-browser (Chromium-gebaseerd), Exchange Server, Microsoft Office, Microsoft Dynamics, .NET Framework, Open-Source Software, Windows Defender, Windows Hyper-V en Remote Desktop Protocol. .
Dit is een "ongewoon grote" uitrol voor Microsoft's eerste Patch Tuesday van het jaar, merkte Dustin Childs van het Zero-Day Initiative van Trend Micro op in een blogpost op de patches van vandaag. "In de afgelopen jaren is het gemiddelde aantal patches dat in januari is uitgebracht ongeveer de helft van dit volume", merkte hij op. Het is ook een opmerkelijke verandering ten opzichte van kleinere update-releases die tegen het einde van 2021 plaatsvonden.
In de release van vandaag zitten een paar kwetsbaarheden die het waard zijn prioriteit te geven en goed op te letten. Een van deze is CVE-2022-21907, een HTTP Protocol Stack remote code execution (RCE)-fout die een aanvaller kan misbruiken door een speciaal vervaardigd pakket naar een doelserver te sturen met behulp van de HTTP Protocol Stack (http.sys) om pakketten te verwerken. Microsoft zegt dat de kwetsbaarheid wormbaar is.
"De CVE is gericht op de ondersteuningsfunctie van HTTP-trailers, waarmee een afzender extra velden in een bericht kan opnemen om metadata te leveren, door een speciaal ontworpen bericht te leveren dat kan leiden tot uitvoering van code op afstand", zegt Danny Kim, hoofdarchitect bij Virsec. Een aanval vereist een lage complexiteit, geen privileges en geen gebruikersinteractie om te werken. Gebruikers wordt aangeraden snel te patchen.
Ook belangrijk zijn de drie kwetsbaarheden voor het uitvoeren van externe code die zijn gepatcht in Microsoft Exchange Server: CVE-2022-21846, die als kritiek wordt beschouwd, en CVE-2022-21969 en CVE-2022-21855, die beide zijn gecategoriseerd als Belangrijk. Alle drie de kwetsbaarheden vereisen een lage complexiteit, geen privileges en geen gebruikersinteractie om te misbruiken. Microsoft classificeert ze allemaal als "uitbuiting waarschijnlijker".
NSA meldt één
Een van deze fouten (CVE-2022-21846) is door de National Security Agency aan Microsoft bekendgemaakt. Hoewel het een hoge CVSS-score van 9.0 heeft, merkte Microsoft op dat dit probleem een "aangrenzende" aanvalsvector heeft, wat betekent dat het niet via internet kan worden misbruikt, maar in plaats daarvan iets specifieks nodig heeft dat aan het doelwit is gekoppeld, zoals hetzelfde gedeelde fysieke netwerk of hetzelfde logische netwerk . Dit betekent dat de aanvaller meer moeite zou moeten doen, in tegenstelling tot de ProxyLogon- of ProxyShell-bugs.
Een kritieke kwetsbaarheid die het bekijken waard is, is: CVE-2022-21840, een kritieke RCE-fout in Microsoft Office die een lage complexiteit en geen privileges vereist. Het voorbeeldvenster is hier geen aanvalsvector, merkt Microsoft op, maar een exploit vereist wel gebruikersinteractie. In het geval van een e-mailaanval kan een kwaadwillende een speciaal vervaardigd bestand naar een slachtoffer sturen en hen overtuigen om het te openen. In een webscenario kan de aanvaller een website hosten (of een gecompromitteerde website gebruiken die door de gebruiker verstrekte inhoud accepteert of host) die een speciaal vervaardigd bestand bevat om de bug te misbruiken.
Organisaties die Office 2019 voor Mac en Microsoft Office LTSC voor Mac 2021 draaien, zullen helaas moeten wachten op een update, aangezien hiervoor nog geen patches beschikbaar zijn. Microsoft zegt dat klanten via CVE-revisie op de hoogte zullen worden gesteld wanneer ze beschikbaar worden gesteld.
De zes algemeen bekende problemen die vandaag zijn gepatcht, omvatten een open source curl RCE-kwetsbaarheid (CVE-2021-22947) en Libarchive RCE-kwetsbaarheid (CVE-2021-36976), waarvan beide hun CVE eerder hadden uitgebracht door een derde partij en nu worden opgenomen in Microsoft-producten.
Ook algemeen bekend is een beveiligingslek met betrekking tot spoofing van Windows-certificaten (CVE-2022-21836), Windows Security Center API RCE-kwetsbaarheid (CVE-2022-21874), Windows-gebruikersprofielservice misbruik van privilege-fout (CVE-2022-21919), en een Windows-gebeurtenistracering van discretionaire toegangscontrolelijst denial-of-service-kwetsbaarheid (CVE-2022-21839).
