Microsoft hôm thứ Ba đã khởi động bộ cập nhật đầu tiên cho năm 2022 bằng cách bịt 96 lỗ hổng bảo mật trên hệ sinh thái phần mềm của mình, đồng thời kêu gọi khách hàng ưu tiên vá lỗ hổng nghiêm trọng “có thể đào sâu”.
Trong số 96 lỗ hổng bảo mật, chín lỗ hổng được xếp hạng Nghiêm trọng và 89 lỗ hổng được xếp hạng Quan trọng về mức độ nghiêm trọng, với sáu lỗ hổng zero-day được biết đến công khai tại thời điểm phát hành. Đây là bên cạnh 29 vấn đề được vá trong Microsoft Edge vào ngày 6 tháng 1 năm 2022. Không có lỗi nào được tiết lộ được liệt kê là đang bị tấn công.
Các bản vá bao gồm một loạt danh mục của gã khổng lồ điện toán, bao gồm Microsoft Windows và Windows Components, Exchange Server, Microsoft Office và Office Components, SharePoint Server, .NET Framework, Microsoft Dynamics, Open-Source Software, Windows Hyper-V, Windows Defender, và Windows Remote Desktop Protocol (RDP).
Đứng đầu trong số đó là CVE-2022-21907 (điểm CVSS: 9,8), một lỗ hổng thực thi mã từ xa bắt nguồn từ HTTP Protocol Stack. “Trong hầu hết các tình huống, kẻ tấn công không được xác thực có thể gửi một gói được chế tạo đặc biệt đến một máy chủ được nhắm mục tiêu sử dụng Ngăn xếp giao thức HTTP (http.sys) để xử lý các gói”, Microsoft lưu ý trong lời khuyên của mình.
Nhà nghiên cứu bảo mật người Nga Mikhail Medvedev đã được ghi nhận là người đã phát hiện và báo cáo lỗi, với công ty có trụ sở tại Redmond nhấn mạnh rằng nó có thể sâu được, nghĩa là không cần sự tương tác của người dùng để kích hoạt và lan truyền sự lây nhiễm.
Danny Kim, kiến trúc sư chính tại Virsec, cho biết: “Mặc dù Microsoft đã cung cấp một bản vá chính thức, nhưng CVE này là một lời nhắc nhở khác rằng các tính năng phần mềm tạo cơ hội cho những kẻ tấn công sử dụng sai chức năng cho các hành vi độc hại”, Danny Kim, kiến trúc sư chính tại Virsec, cho biết.
Microsoft cũng đã giải quyết sáu ngày 0 như một phần của bản cập nhật Bản vá thứ ba, hai trong số đó là sự tích hợp các bản sửa lỗi của bên thứ ba liên quan đến thư viện nguồn mở curl và libarchive.
CVE-2021-22947 (Điểm CVSS: N / A) – Lỗ hổng thực thi mã từ xa nguồn mở CVE-2021-36976 (Điểm CVSS: N / A) – Lỗ hổng thực thi mã từ xa libarchive nguồn mở CVE-2022-21836 ( Điểm CVSS: 7,8) – Lỗ hổng bảo mật giả mạo chứng chỉ Windows CVE-2022-21839 (điểm CVSS: 6,1) – Windows Event Tracing Discretionary Access Control List Denial of Service Lỗ hổng bảo mật CVE-2022-21874 (Điểm CVSS: 7,8) – Windows Security Center API Remote Lỗ hổng thực thi mã CVE-2022-21919 (điểm CVSS: 7,0) – Dịch vụ hồ sơ người dùng Windows Nâng cao lỗ hổng đặc quyền
Một lỗ hổng nghiêm trọng khác cần lưu ý liên quan đến lỗ hổng thực thi mã từ xa (CVE-2022-21849, điểm CVSS: 9,8) trong Windows Internet Key Exchange (IKE) phiên bản 2, mà Microsoft cho biết có thể bị kẻ tấn công từ xa vũ khí hóa để “kích hoạt nhiều lỗ hổng mà không đang được xác thực. “
Ngoài ra, bản vá cũng khắc phục một số lỗi thực thi mã từ xa ảnh hưởng đến Exchange Server, Microsoft Office (CVE-2022-21840), SharePoint Server, RDP và Windows Resilient File System cũng như các lỗ hổng bảo mật đặc quyền trong Active Directory Domain Dịch vụ, Kiểm soát Tài khoản Windows, Trình quản lý Dọn dẹp Windows và Windows Kerberos, trong số những dịch vụ khác.
Cần nhấn mạnh rằng CVE-2022-21907 và ba thiếu sót được phát hiện trong Exchange Server (CVE-2022-21846, CVE-2022-21855 và CVE-2022-21969, điểm CVSS: 9.0) đều được gắn nhãn là “khai thác thêm có khả năng, “yêu cầu các bản vá được áp dụng ngay lập tức để chống lại các cuộc tấn công tiềm năng trong thế giới thực nhắm vào các điểm yếu. Cơ quan An ninh Quốc gia Hoa Kỳ (nsa) đã được thừa nhận vì đã gắn cờ CVE-2022-21846.
Bharat Jogi, giám đốc nghiên cứu về lỗ hổng và mối đe dọa tại Qualys, cho biết: “Bản vá thứ ba khổng lồ này diễn ra trong thời điểm hỗn loạn trong ngành bảo mật, nơi các chuyên gia đang làm việc ngoài giờ để khắc phục Log4Shell – được cho là lỗ hổng tồi tệ nhất từng thấy trong nhiều thập kỷ”.
“Các sự kiện như Log4Shell […] đề cao tầm quan trọng của việc kiểm kê tự động mọi thứ được tổ chức sử dụng trong môi trường của họ “, Jogi nói thêm,” Cần hàng giờ để tự động hóa việc triển khai các bản vá cho các sự kiện có lịch trình xác định (ví dụ: MSFT Bản vá thứ ba), vì vậy các chuyên gia bảo mật có thể tập trung năng lượng để ứng phó hiệu quả với các sự kiện không thể đoán trước gây ra rủi ro nghiêm trọng. “
Bản vá phần mềm từ các nhà cung cấp khác
Bên cạnh Microsoft, các bản cập nhật bảo mật cũng đã được phát hành bởi các nhà cung cấp khác để khắc phục một số lỗ hổng, tính –
.
