Microsoft's Patch Tuesday-bundel voor deze maand is een grote: 74 gedocumenteerde kwetsbaarheden in meerdere Windows-producten en -componenten, waarvan sommige ernstig genoeg om te leiden tot externe code-uitvoeringsaanvallen.
De in Redmond, Washington gevestigde softwaregigant waarschuwde dat exploitcode openbaar beschikbaar is voor drie van de gepatchte kwetsbaarheden: fouten bij het uitvoeren van externe code in Remote Desktop Client en .NET en Visual Studio, en een privilege-escalatiefout in de Windows Fax and Scan-service .
"In het geval van een Remote Desktop-verbinding kan een aanvaller met controle over een Remote Desktop Server een externe code-uitvoering (RCE) activeren op de RDP-clientcomputer wanneer een slachtoffer verbinding maakt met de aanvallende server met de kwetsbare Remote Desktop Client", zegt Microsoft. uitgelegd in een 'belangrijk' adviserend.
De patch-batch van maart bevat oplossingen voor drie problemen die als "kritiek" zijn beoordeeld, de hoogste prioriteitsclassificatie van Microsoft. Deze omvatten kwetsbaarheden voor het uitvoeren van externe code in Microsoft Exchange Server en de HEVC- en VP0-video-extensies.
Microsoft zei dat het geen bewijs had dat een van de kwetsbaarheden in het wild als zero-day werd uitgebuit.
[VOOR: Patch dinsdag: Windows-fout onder actieve aanval ]
Trackers van kwetsbaarheden bij het Zero Day Initiative vragen speciale aandacht voor de Microsoft Exchange-serverfout - CVE-2022-23277 - als een fout die met spoed moet worden getest en geïmplementeerd.
“Door de kwetsbaarheid van [Exchange Server] kan een geverifieerde aanvaller zijn code uitvoeren met verhoogde bevoegdheden via een netwerkaanroep. Dit wordt ook vermeld als een lage complexiteit met meer kans op uitbuiting, dus het zou me niet verbazen als deze bug binnenkort in het wild wordt misbruikt - ondanks de authenticatievereiste. Test en implementeer dit snel op uw Exchange-servers,” ZDI drong aan in een blogpost.
De Microsoft-patches dekken ook tal van code-uitvoering, denial-of-service en misbruik van bevoegdheden in Azure Site Recovery en aanvullende bugs in Microsoft Defender, Microsoft Office en Windows Event Tracing.
De patches van Microsoft werden vrijgegeven uren nadat softwaremaker Adobe dringende beveiligingsupdates had uitgerold om kwetsbaarheden bij het uitvoeren van code in Illustrator- en After Effects-producten aan te pakken.
De Adobe-patches dekken de uitvoering van willekeurige code en kwetsbaarheden voor geheugenlekken die gegevens kunnen blootstellen aan aanvallen van kwaadwillende hackers.
[ LEES: Microsoft vraagt aandacht voor 'wormbare' Windows-beveiligingsfout ]
De ernstigste kwetsbaarheden zijn verholpen in Adobe Illustrator, het populaire ontwerpprogramma voor vectorafbeeldingen dat beschikbaar is voor zowel macOS- als Windows-systemen.
In een adviserend, beoordeelde Adobe de Illustrator-fout als "kritiek" met een CVSS-basisscore van 7.8. Het bedrijf beschreef de CVE-2022-23187-bug als een bufferoverloop die van invloed is op Illustrator 2022 versie 26.0.3 (en eerdere versies) op zowel WIndows- als macOS-machines.
Adobe dringt er bij gebruikers sterk op aan om te upgraden naar Illustrator 2022 versie 26.1.0.
De in San Jose, Californië gevestigde Adobe heeft ook uitgegeven een aparte waarschuwing om te waarschuwen voor ten minste vier kritieke fouten die gebruikers van After Effects achtervolgen, een ander populair softwareproduct dat wordt gebruikt in creatieve projecten voor bewegende beelden.
Het viertal bugs wordt allemaal beschreven als op stapels gebaseerde bufferoverlopen die computerovernameaanvallen mogelijk maken.
Zie ook: Microsoft Patch Tuesday: Windows-fout onder actieve aanval
Zie ook: Zero-day hit van Microsoft Office bij gerichte aanvallen
Zie ook: Adobe sluit zich aan bij beveiligingspatch Tuesday Frenzy
Zie ook: Adobe waarschuwt voor kritieke fouten in Magento, Connect
Zie ook: Heeft Microsoft de PrintNightmare-patch verknald?
Ryan Naraine is hoofdredacteur bij SecurityWeek en gastheer van de populaire Beveiligingsgesprekken podcast-serie. Hij is een journalist en cyberbeveiligingsstrateeg met meer dan 20 jaar ervaring op het gebied van IT-beveiliging en technologische trends.
Ryan heeft beveiligingsprogramma's opgezet bij grote internationale merken, waaronder Intel Corp., Bishop Fox en Kaspersky GReAT. Hij is mede-oprichter van Threatpost en de wereldwijde SAS-conferentiereeks. Ryans carrière als journalist omvat onder meer artikelen bij grote technologiepublicaties, waaronder Ziff Davis eWEEK, CBS Interactive's ZDNet, PCMag en PC World.
Ryan is directeur van de non-profitorganisatie Security Tinkerers en spreekt regelmatig op beveiligingsconferenties over de hele wereld.
Volg Ryan op Twitter @ryanaraine.
Tags:
