Microsoft phát hành Patch Tuesday đầu tiên trong năm 2022 để và 96 lỗ hổng mới

Thứ Ba vừa qua, Microsoft đã phát hành bản cập nhật “Patch Tuesday” đầu tiên trong năm 2022 để khắc phục 96 lỗ hổng mới, ngoài ra còn có 24 lỗ hổng trong Microsoft Edge (Chromium-based) và 2 lỗ hổng khác trong các dự án nguồn mở đều đã được vá trước đó.

Trong số đó, 9 lỗ hổng được xếp ở mức nghiêm trọng và 89 lỗ hổng được xếp mức cao, với sáu lỗ hổng zero-day được công khai tại thời điểm phát hành.

Các sản phẩm bị ảnh hưởng bao gồm Microsoft Windows và Windows Components, Exchange Server, Microsoft Office và Office Components, SharePoint Server, .NET Framework, Microsoft Dynamics, Open-Source Software, Windows Hyper-V, Windows Defender, và Windows Remote Desktop Protocol (RDP).

Đáng chú ý là CVE-2022-21907 (điểm CVSS: 9,8), lỗ hổng cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực, ảnh hưởng đến thành phần HTTP Protocol Stack (http.sys) trên Windows.

Lỗ hổng do nhà nghiên cứu người Nga, Mikhail Medvedev phát hiện và báo cáo, được cho là có khả năng “wormable” - có thể kích hoạt và lây nhiễm mà không cần sự tương tác của người dùng.

Microsoft khuyên người dùng nên nhanh chóng cài đặt các bản vá, đặc biệt ưu tiên vá lỗ hổng nghiêm trọng có thể wormable và bị nhắm mục tiêu khai thác trong thực tế.

Microsoft cũng đã vá 6 lỗ hổng zero-days trong bản cập nhật lần này, hai trong số có sự tích hợp các bản vá lỗi của các bên thứ ba liên quan.

-  CVE-2021-22947 (Điểm CVSS: N / A) - Lỗ hổng thực thi mã từ xa liên quan đến thư viện mã nguồn mở curl

-  CVE-2021-36976 (Điểm CVSS: N / A) - Lỗ hổng thực thi mã từ xa liên quan đến thư viện mã nguồn mở libarchive

-  CVE-2022-21836 (điểm CVSS: 7,8) - Lỗ hổng giả mạo chứng chỉ (certificate ) Windows

-  CVE-2022-21839 (điểm CVSS: 6,1) - Lỗ hổng từ chối dịch vụ liên quan đến tính năng theo dõi kiểm soát truy cập trong Windows

-  CVE-2022-21874 (Điểm CVSS: 7,8) - Lỗ hổng thực thi mã từ xa liên quan đến Security Center API của Windows

-  CVE-2022-21919 (điểm CVSS: 7,0) - Lỗ hổng leo thang đặc quyền trong dịch vụ Windows User Profile

Một lỗ hổng nghiêm trọng khác là CVE-2022-21849 (điểm CVSS: 9,8), cho phép thực thi mã từ xa trong Windows Internet Key Exchange (IKE) phiên bản 2, có thể bị khai thác để "kích hoạt nhiều lỗ hổng không cần xác thực".

Ngoài ra, bản vá cũng khắc phục một số lỗ hổng thực thi mã từ xa ảnh hưởng đến Exchange Server, Microsoft Office (CVE-2022-21840), SharePoint Server, RDP và Windows Resilient File System cũng như các lỗ hổng leo thang đặc quyền trong dịch vụ Active Directory Domain, Windows Accounts Control, Windows Cleanup Manager, and Windows Kerberos.

Lỗ hổng CVE-2022-21907 và ba lỗ hổng được phát hiện trong Exchange Server (CVE-2022-21846, CVE-2022-21855, và CVE-2022-21969, điểm CVSS: 9.0) được cho là "có nhiều khả năng bị khai thác”, "cần cài đặt các bản vá ngay lập tức để chống lại các cuộc tấn công tiềm ẩn trong thực tế.

Bên cạnh các lỗ hổng này, không thể không kể đến Log4Shell, lỗ hổng nghiêm trọng đã và đang được nhắc đến trong suốt thời gian vừa qua, được cho là lỗ hổng tồi tệ nhất từng thấy trong nhiều thập kỷ.

Nguồn: thehackernews.com.