微軟Patch Tuesday安全更新修補Office、HTTP協定重大漏洞
微軟本周三釋出2022年1月的Patch Tuesday每月安全更新,修補微軟Office、Windows HTTP協定和Exchange Server等96項漏洞,包括9項重大風險漏洞。
此次漏洞涵括Windows 、Windows元件、Edge (Chromium-based)、Exchange Server、Office及Office元件、SharePoint 、.NET Framework,、Microsoft Dynamics、Windows Hyper-V、Defender及Remote Desktop Protocol (RDP)等。本次也修補了6項零時差漏洞,不過微軟表示沒有跡象顯示有任何漏洞已經遭到攻擊。
其中微軟特別點出編號CVE-2022-21907的漏洞,影響利用HTTP協定堆疊(http.sys)處理封包的Windows Server,未經授權的攻擊者可傳送惡意封包來開採漏洞。微軟指出,這是項「wormable」的漏洞,意謂惡意程式可經由一台受害的伺服器在不經用戶互動下,擴及其他有漏洞的機器。該漏洞風險值被列為9.8(10分為滿分)。
另一重大遠端程式碼執行(remote code execution, RCE)漏洞為CVE-2022-21840,影響Office的漏洞。微軟指出,攻擊者可能傳送惡意檔案誘使其開啟檔案來開採這項漏洞。該漏洞風險值8.8,但微軟這波更新尚未能修補Office 2019 for Mac及Office LTSC for Mac。
安全專家分析,大部份Office中的RCE漏洞只列為重要,是因為通常需要使用者動作且開啟文件時也會有警告對話框,但這隻漏洞攻擊並不會觸發警告對話框。
CVE-2022-21846則是由美國國安局(National Security Agency)通報 的Exchange Server漏洞,被列為開採風險高(CVSS 9.0)。這也是本周修補的3個Exchange Server漏洞之一,另二個為CVE-2022-21969和 CVE-2022-21855。
不過不像去年的ProxyLogon及ProxyShell漏洞可遠端開採。這3項Exchange Server漏洞需要攻擊者和目標機器在同一網路上才能開採。
其他零時差漏洞包括存在Windows 中的開源cURL函式庫 RCE漏洞CVE-2021-22947,可能導致中間人攻擊(man-in-the-middle, MiTM)以及Active Directory Domain Service的CVE-2022-21857。兩者皆被列為重大風險。
其他分別為Virtual Machin IDE Drive的CVE-2022-21833、DirectX Graphics Kernel的CVE-2022-21912和 CVE-2022-21898、以及HEVC Video Extensions的CVE-2022-21917,皆為列為重要(important)風險。
來源:ThreatPost