2022年的开春,企业IT管理人员可能会忙碌一些了,因为微软在今年1月的Patch Tuesday总计修补了96个安全漏洞,其中有9个被列为重大(Critical)漏洞,还有6个为零时差漏洞,不过,相关漏洞尚未遭到黑客开采。
9个重大漏洞分别是开源项目Curl的远程程序攻击漏洞CVE-2021-22947、Active Directory域名服务的权限扩张漏洞CVE-2022-21857、两个DirectX绘图核心的远程程序攻击漏洞CVE-2022-21912与CVE-2022-21898、HEVC Video Extensions远程程序攻击漏洞CVE-2022-21917、HTTP协议架构的远程程序攻击漏洞CVE-2022-21907、Exchange Server远程程序攻击漏洞CVE-2022-21846、Office远程程序攻击漏洞CVE-2022-21840,以及Virtual Machine IDE Drive权限扩张漏洞CVE-2022-21833。
至于6个零时差漏洞中,除了CVE-2021-22947与上述重叠之外,其它5个分别是Libarchive远程程序攻击漏洞CVE-2021-36976、Windows User Profile Service权限扩张漏洞CVE-2022-21919、Windows Certificate欺骗漏洞CVE-2022-21836、Windows Event Tracing Discretionary Access Control List服务阻断漏洞CVE-2022-21839,以及Windows Security Center API远程程序攻击漏洞CVE-2022-21874。
其中,涉及Curl与Libarchive的安全漏洞先前就已被各自的维护者修补,只是微软本周才于Windows中修补它们。
Zero Day Initiative(ZDI)特别点名了4个重要漏洞,包括CVE-2022-21907、CVE-2022-21846、CVE-2022-21840与CVE-2022-21857。黑客只要发送一个特定的封包到一个利用http.sys的系统进行处理,就能开采CVE-2022-21907,取得系统的执行权限,完全不需与用户交互或事先取得特权,并可演变成蠕虫漏洞。且除了服务器之外,Windows客户端也都能执行http.sys,代表所有的版本都受到该漏洞的影响。
微软与ZDI都将CVE-2022-21907列为必须优先修补的漏洞。
微软在本月修补了3个Exchange Server漏洞,虽然它们的CVSS风险评分都高达9,但只有CVE-2022-21846被列为重大等级,它很可能被开采,并让黑客取得Exchange Server的控制权,但前提是黑客必须与目标对象共享实体网络,例如蓝牙、本地端的IP子网络或其它受限的管理域名等。
此外,大多数的Office漏洞都只被列为重大(Important)等级,因为相关漏洞多半需要与用户交互才能开采,而且会跳出警告窗口,然而,CVE-2022-21840漏洞却在用户打开特定的文件时没有任何的警告。
ZDI提醒,此次微软也发布其它更新来修补CVE-2022-21840,应记得一并部署,而Office 2019 for Mac及Microsoft Office LTSC for Mac 2021等版本的修补程序则尚未出炉。