微軟Patch Tuesday安全更新修補Office、HTTP協定重大漏洞

微軟本周三釋出2022年1月的Patch Tuesday每月安全更新，修補微軟Office、Windows HTTP協定和Exchange Server等96項漏洞，包括9項重大風險漏洞。

此次漏洞涵括Windows 、Windows元件、Edge (Chromium-based)、Exchange Server、Office及Office元件、SharePoint 、.NET Framework,、Microsoft Dynamics、Windows Hyper-V、Defender及Remote Desktop Protocol (RDP)等。本次也修補了6項零時差漏洞，不過微軟表示沒有跡象顯示有任何漏洞已經遭到攻擊。

其中微軟特別點出編號CVE-2022-21907的漏洞，影響利用HTTP協定堆疊(http.sys)處理封包的Windows Server，未經授權的攻擊者可傳送惡意封包來開採漏洞。微軟指出，這是項「wormable」的漏洞，意謂惡意程式可經由一台受害的伺服器在不經用戶互動下，擴及其他有漏洞的機器。該漏洞風險值被列為9.8(10分為滿分)。

另一重大遠端程式碼執行(remote code execution, RCE)漏洞為CVE-2022-21840，影響Office的漏洞。微軟指出，攻擊者可能傳送惡意檔案誘使其開啟檔案來開採這項漏洞。該漏洞風險值8.8，但微軟這波更新尚未能修補Office 2019 for Mac及Office LTSC for Mac。

安全專家分析，大部份Office中的RCE漏洞只列為重要，是因為通常需要使用者動作且開啟文件時也會有警告對話框，但這隻漏洞攻擊並不會觸發警告對話框。

CVE-2022-21846則是由美國國安局(National Security Agency)通報 的Exchange Server漏洞，被列為開採風險高(CVSS 9.0)。這也是本周修補的3個Exchange Server漏洞之一，另二個為CVE-2022-21969和 CVE-2022-21855。

不過不像去年的ProxyLogon及ProxyShell漏洞可遠端開採。這3項Exchange Server漏洞需要攻擊者和目標機器在同一網路上才能開採。

其他零時差漏洞包括存在Windows 中的開源cURL函式庫 RCE漏洞CVE-2021-22947，可能導致中間人攻擊(man-in-the-middle, MiTM)以及Active Directory Domain Service的CVE-2022-21857。兩者皆被列為重大風險。

其他分別為Virtual Machin IDE Drive的CVE-2022-21833、DirectX Graphics Kernel的CVE-2022-21912和 CVE-2022-21898、以及HEVC Video Extensions的CVE-2022-21917，皆為列為重要(important)風險。

來源：ThreatPost