Het jaar begint al weer goed. Microsoft pakt 97 CVE’s aan in zijn Patch Tuesday-release van januari 2022, waaronder vier zero-day kwetsbaarheden die publiekelijk bekend zijn gemaakt maar niet in het wild zijn uitgebuit. Wij raden jullie aan om de januari update zo snel mogelijk uit te rollen, zeker op internet facing systemen.
Bron: Tenable / Access42
De update van deze maand bevat patches voor:
CVE-2022-21907 is een RCE kwetsbaarheid in Microsoft’s HTTP Protocol Stack (http.sys) die kan worden uitgebuit door een ongeauthenticeerde aanvaller op afstand door een bewerkt pakket naar een getroffen server te sturen. De kwetsbaarheid kreeg een 9.8 CVSSv3 score en Microsoft waarschuwt dat deze fout als wormable wordt beschouwd. Het patchen van getroffen servers moet onmiddellijk prioriteit krijgen. Hoewel de tekortkoming niet is uitgebuit, werd het beoordeeld als “Exploitation More Likely” volgens de Exploitability Index van Microsoft. Volgens de advisory hebben Windows Server 2019 en Windows 10 versie 1809 de HTTP Trailer Support-functie standaard niet ingeschakeld, deze mitigatie geldt echter niet voor andere getroffen versies van Windows.
CVE-2022-21969, CVE-2022-21846 en CVE-2022-21855 zijn RCE’s in Microsoft Exchange Server die allemaal een CVSSv3-score van 9.0 kregen en als “Exploitation More Likely” werden beoordeeld. Volgens de adviezen vereisen deze kwetsbaarheden een aangrenzende aanval, wat betekent “het kan niet gewoon over het internet worden gedaan, maar in plaats daarvan is iets specifieks nodig dat aan het doel is gebonden.” De aanvaller zou een soort van voet aan de grond moeten krijgen in de doelomgeving voordat hij deze kwetsbaarheden kan uitbuiten.
CVE-2022-21969 wordt toegeschreven aan Dr. Florian Hauser van Code White GmbH, CVE-2022-21855 werd ontdekt door Andrew Ruddick van het Microsoft Security Response Center en CVE-2022-21846 wordt toegeschreven aan de National Security Agency.
We continue to harden Exchange Server. I had a vulnerability patched today under CVE-2022-21855: https://t.co/ccfifWtnEl https://t.co/aaOLCcIX4D
— Andrew Ruddick (@arudd1ck) January 11, 2022
CVE-2022-21874 is een openbaar gemaakte RCE in de Windows Security Center API die een CVSSv3-score van 7,8 heeft gekregen. Het werd ontdekt door Jinquan van DBAPPSecurity Lieying Lab. Deze kwetsbaarheid vereist gebruikersinteractie om uit te buiten en de aanvalsvector is lokaal.
CVE-2022-21893 is een RCE kwetsbaarheid in het Remote Desktop Protocol (RDP). Om dit lek te misbruiken, zou een aanvaller een gebruiker moeten overtuigen om verbinding te maken met een kwaadaardige RDP server. Zodra een RDP-verbinding tot stand is gebracht, zou de aanvaller de kwaadaardige RDP-server kunnen gebruiken om de inhoud van het klembord en het bestandssysteem van de computer van het slachtoffer te openen of te wijzigen. Hoewel uitbuiting minder waarschijnlijk is, is de kwetsbaarheid nog steeds een belangrijke tekortkoming om te verhelpen.
CVE-2022-21850 en CVE-2022-21851 zijn beide RCE kwetsbaarheden in de Remote Desktop Client. Voor beide CVE’s zou een aanvaller een gebruiker op een getroffen versie van de Remote Desktop Client moeten overhalen om verbinding te maken met een kwaadaardige RDP server. Elk van deze kwetsbaarheden kreeg een CVSSv3 score van 8.8 en vereist interactie van de gebruiker om het uit te buiten.
CVE-2022-21836 is een spoofing-kwetsbaarheid in Windows-certificaten en heeft een CVSSv3-score van 7,8 gekregen. Een aanvaller zou gecompromitteerde certificaten kunnen gebruiken om de binaire verificatie van de Windows Platform Binary Table te omzeilen. Hoewel de uitbuiting als minder waarschijnlijk wordt beoordeeld, stelt Microsoft dat het lek publiekelijk bekend is gemaakt. De gecompromitteerde certificaten waarvan Microsoft op de hoogte is, zijn toegevoegd aan de Windows kernel driver block list en Microsoft biedt aanvullende richtlijnen in hun security advisory.
CVE-2022-21919 is een EoP-kwetsbaarheid in de Windows User Profile Service. Om deze kwetsbaarheid uit te buiten, moet een aanvaller een voet aan de grond hebben op het kwetsbare systeem via social engineering, een afzonderlijke exploit of malware. Succesvolle exploitatie zou de aanvaller verhoogde privileges geven op het kwetsbare systeem. Dit lek wordt beschouwd als een zero-day, omdat het openbaar werd gemaakt voordat Microsoft er patches voor uitbracht.
Microsoft merkte eerder op dat de ondersteuning voor Internet Explorer 11 op 15 juni 2022 zal eindigen voor bepaalde versies van Windows 10. Aangezien sommige organisaties toepassingen kunnen gebruiken die het gebruik van Internet Explorer vereisen, wilt u controleren of u een versie van Windows gebruikt die langdurig wordt ondersteund of wilt u de volgende stappen bepalen. Microsoft heeft hier een FAQ-document beschikbaar gesteld.
Cookie | Duration | Description |
---|---|---|
_GRECAPTCHA | 5 months 27 days | This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis. |
cookielawinfo-checkbox-advertisement | 1 year | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement". |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie. |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
Cookie | Duration | Description |
---|---|---|
bcookie | 2 years | This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page. |
lang | session | This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website. |
lidc | 1 day | This cookie is set by LinkedIn and used for routing. |
Cookie | Duration | Description |
---|---|---|
YSC | session | This cookies is set by Youtube and is used to track the views of embedded videos. |
Cookie | Duration | Description |
---|---|---|
_ga | 2 years | This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors. |
_gat_gtag_UA_116473530_1 | 1 minute | This cookie is set by Google and is used to distinguish users. |
_gat_UA-116473530-1 | 1 minute | This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites. |
_gid | 1 day | This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form. |
Cookie | Duration | Description |
---|---|---|
bscookie | 2 years | This cookie is a browser ID cookie set by Linked share Buttons and ad tags. |
IDE | 1 year 24 days | Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile. |
prism_476809757 | 1 month | Used by ActiveCampaign to track usage of newsletters |
test_cookie | 15 minutes | This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 5 months 27 days | This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the video preferences of the user using embedded YouTube video. |
yt-remote-device-id | never | YouTube sets this cookie to store the video preferences of the user using embedded YouTube video. |
Cookie | Duration | Description |
---|---|---|
AnalyticsSyncHistory | 1 month | No description |
CONSENT | 16 years 7 months 5 days 13 hours | No description |
li_gc | 2 years | No description |
UserMatchHistory | 1 month | Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences. |