Het jaar begint al weer goed. Microsoft pakt 97 CVE’s aan in zijn Patch Tuesday-release van januari 2022, waaronder vier zero-day kwetsbaarheden die publiekelijk bekend zijn gemaakt maar niet in het wild zijn uitgebuit. Wij raden jullie aan om de januari update zo snel mogelijk uit te rollen, zeker op internet facing systemen.
Bron: Tenable / Access42
De update van deze maand bevat patches voor:
- .NET Framework
- Microsoft Dynamics
- Microsoft Edge (Chromium-based)
- Microsoft Exchange Server
- Microsoft Graphics Component
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Office Word
- Microsoft Teams
- Microsoft Windows Codecs Library
- Open Source Software
- Windows Hyper-V
- Tablet Windows User Interface
- Windows Account Control
- Windows Active Directory
- Windows AppContracts API Server
- Windows Application Model
- Windows BackupKey Remote Protocol
- Windows Bind Filter Driver
- Windows Certificates
- Windows Cleanup Manager
- Windows Clipboard User Service
- Windows Cluster Port Driver
- Windows Common Log File System Driver
- Windows Connected Devices Platform Service
- Windows Cryptographic Services
- Windows Defender
- Windows Devices Human Interface
- Windows Diagnostic Hub
- Windows DirectX
- Windows DWM Core Library
- Windows Event Tracing
- Windows Geolocation Service
- Windows HTTP Protocol Stack
- Windows IKE Extension
- Windows Installer
- Windows Kerberos
- Windows Kernel
- Windows Libarchive
- Windows Local Security Authority
- Windows Local Security Authority Subsystem Service
- Windows Modern Execution Server
- Windows Push Notifications
- Windows RDP
- Windows Remote Access Connection Manager
- Windows Remote Desktop
- Windows Remote Procedure Call Runtime
- Windows Resilient File System (ReFS)
- Windows Secure Boot
- Windows Security Center
- Windows StateRepository API
- Windows Storage
- Windows Storage Spaces Controller
- Windows System Launcher
- Windows Task Flow Data Engine
- Windows Tile Data Repository
- Windows UEFI
- Windows UI Immersive Server
- Windows User Profile Service
- Windows User-mode Driver Framework
- Windows Virtual Machine IDE Drive
- Windows Win32K
- Windows Workstation Service Remote Protocol
Critical: CVE-2022-21907 | HTTP Protocol Stack Remote Code Execution Vulnerability
CVE-2022-21907 is een RCE kwetsbaarheid in Microsoft’s HTTP Protocol Stack (http.sys) die kan worden uitgebuit door een ongeauthenticeerde aanvaller op afstand door een bewerkt pakket naar een getroffen server te sturen. De kwetsbaarheid kreeg een 9.8 CVSSv3 score en Microsoft waarschuwt dat deze fout als wormable wordt beschouwd. Het patchen van getroffen servers moet onmiddellijk prioriteit krijgen. Hoewel de tekortkoming niet is uitgebuit, werd het beoordeeld als “Exploitation More Likely” volgens de Exploitability Index van Microsoft. Volgens de advisory hebben Windows Server 2019 en Windows 10 versie 1809 de HTTP Trailer Support-functie standaard niet ingeschakeld, deze mitigatie geldt echter niet voor andere getroffen versies van Windows.
Critical: CVE-2022-21969, CVE-2022-21846 and CVE-21855 | Microsoft Exchange Server Remote Code Execution Vulnerabilities
CVE-2022-21969, CVE-2022-21846 en CVE-2022-21855 zijn RCE’s in Microsoft Exchange Server die allemaal een CVSSv3-score van 9.0 kregen en als “Exploitation More Likely” werden beoordeeld. Volgens de adviezen vereisen deze kwetsbaarheden een aangrenzende aanval, wat betekent “het kan niet gewoon over het internet worden gedaan, maar in plaats daarvan is iets specifieks nodig dat aan het doel is gebonden.” De aanvaller zou een soort van voet aan de grond moeten krijgen in de doelomgeving voordat hij deze kwetsbaarheden kan uitbuiten.
CVE-2022-21969 wordt toegeschreven aan Dr. Florian Hauser van Code White GmbH, CVE-2022-21855 werd ontdekt door Andrew Ruddick van het Microsoft Security Response Center en CVE-2022-21846 wordt toegeschreven aan de National Security Agency.
Belangrijk: CVE-2022-21874 | Windows Security Center API Remote Code Execution Vulnerability
CVE-2022-21874 is een openbaar gemaakte RCE in de Windows Security Center API die een CVSSv3-score van 7,8 heeft gekregen. Het werd ontdekt door Jinquan van DBAPPSecurity Lieying Lab. Deze kwetsbaarheid vereist gebruikersinteractie om uit te buiten en de aanvalsvector is lokaal.
Belangrijk: CVE-2022-21893 | Remote Desktop Protocol Remote Code Execution Vulnerability
CVE-2022-21893 is een RCE kwetsbaarheid in het Remote Desktop Protocol (RDP). Om dit lek te misbruiken, zou een aanvaller een gebruiker moeten overtuigen om verbinding te maken met een kwaadaardige RDP server. Zodra een RDP-verbinding tot stand is gebracht, zou de aanvaller de kwaadaardige RDP-server kunnen gebruiken om de inhoud van het klembord en het bestandssysteem van de computer van het slachtoffer te openen of te wijzigen. Hoewel uitbuiting minder waarschijnlijk is, is de kwetsbaarheid nog steeds een belangrijke tekortkoming om te verhelpen.
Belangrijk: CVE-2022-21850 and CVE-2022-21851 | Remote Desktop Client Remote Code Execution Vulnerability
CVE-2022-21850 en CVE-2022-21851 zijn beide RCE kwetsbaarheden in de Remote Desktop Client. Voor beide CVE’s zou een aanvaller een gebruiker op een getroffen versie van de Remote Desktop Client moeten overhalen om verbinding te maken met een kwaadaardige RDP server. Elk van deze kwetsbaarheden kreeg een CVSSv3 score van 8.8 en vereist interactie van de gebruiker om het uit te buiten.
Belangrijk: CVE-2022-21836 | Windows Certificate Spoofing Vulnerability
CVE-2022-21836 is een spoofing-kwetsbaarheid in Windows-certificaten en heeft een CVSSv3-score van 7,8 gekregen. Een aanvaller zou gecompromitteerde certificaten kunnen gebruiken om de binaire verificatie van de Windows Platform Binary Table te omzeilen. Hoewel de uitbuiting als minder waarschijnlijk wordt beoordeeld, stelt Microsoft dat het lek publiekelijk bekend is gemaakt. De gecompromitteerde certificaten waarvan Microsoft op de hoogte is, zijn toegevoegd aan de Windows kernel driver block list en Microsoft biedt aanvullende richtlijnen in hun security advisory.
Belangrijk: CVE-2022-21919 | Windows User Profile Service Elevation of Privilege Vulnerability
CVE-2022-21919 is een EoP-kwetsbaarheid in de Windows User Profile Service. Om deze kwetsbaarheid uit te buiten, moet een aanvaller een voet aan de grond hebben op het kwetsbare systeem via social engineering, een afzonderlijke exploit of malware. Succesvolle exploitatie zou de aanvaller verhoogde privileges geven op het kwetsbare systeem. Dit lek wordt beschouwd als een zero-day, omdat het openbaar werd gemaakt voordat Microsoft er patches voor uitbracht.
Internet Explorer 11 Upcoming End Of Life
Microsoft merkte eerder op dat de ondersteuning voor Internet Explorer 11 op 15 juni 2022 zal eindigen voor bepaalde versies van Windows 10. Aangezien sommige organisaties toepassingen kunnen gebruiken die het gebruik van Internet Explorer vereisen, wilt u controleren of u een versie van Windows gebruikt die langdurig wordt ondersteund of wilt u de volgende stappen bepalen. Microsoft heeft hier een FAQ-document beschikbaar gesteld.
