微軟 Patch Tuesday 安全更新修補 Office、HTTP 協定重大漏洞

微軟本周三釋出 2022 年 1 月的 Patch Tuesday 每月安全更新，修補微軟 Office、Windows HTTP 協定和 Exchange Server 等 96 項漏洞，包括 9 項重大風險漏洞。

此次漏洞涵括 Windows 、Windows 元件、Edge (Chromium-based)、Exchange Server、Office 及 Office 元件、SharePoint 、.NET Framework,、Microsoft Dynamics、Windows Hyper-V、Defender 及 Remote Desktop Protocol (RDP) 等。本次也修補了 6 項零時差漏洞，不過微軟表示沒有跡象顯示有任何漏洞已經遭到攻擊。

其中微軟特別點出編號 CVE-2022-21907 的漏洞，影響利用 HTTP 協定堆疊 (http.sys) 處理封包的 Windows Server，未經授權的攻擊者可傳送惡意封包來開採漏洞。微軟指出，這是項「wormable」的漏洞，意謂惡意程式可經由一台受害的伺服器在不經用戶互動下，擴及其他有漏洞的機器。該漏洞風險值被列為 9.8(10 分為滿分)。

另一重大遠端程式碼執行 (remote code execution, RCE) 漏洞為 CVE-2022-21840，影響 Office 的漏洞。微軟指出，攻擊者可能傳送惡意檔案誘使其開啟檔案來開採這項漏洞。該漏洞風險值 8.8，但微軟這波更新尚未能修補 Office 2019 for Mac 及 Office LTSC for Mac。

安全專家分析，大部份 Office 中的 RCE 漏洞只列為重要，是因為通常需要使用者動作且開啟文件時也會有警告對話框，但這隻漏洞攻擊並不會觸發警告對話框。

CVE-2022-21846 則是由美國國安局 (National Security Agency) 通報 的 Exchange Server 漏洞，被列為開採風險高 (CVSS 9.0)。這也是本周修補的 3 個 Exchange Server 漏洞之一，另二個為 CVE-2022-21969 和 CVE-2022-21855。

不過不像去年的 ProxyLogon 及 ProxyShell 漏洞可遠端開採。這 3 項 Exchange Server 漏洞需要攻擊者和目標機器在同一網路上才能開採。

其他零時差漏洞包括存在 Windows 中的開源 cURL 函式庫 RCE 漏洞 CVE-2021-22947，可能導致中間人攻擊 (man-in-the-middle, MiTM) 以及 Active Directory Domain Service 的 CVE-2022-21857。兩者皆被列為重大風險。

其他分別為 Virtual Machin IDE Drive 的 CVE-2022-21833、DirectX Graphics Kernel 的 CVE-2022-21912 和 CVE-2022-21898、以及 HEVC Video Extensions 的 CVE-2022-21917，皆為列為重要 (important) 風險。

來源：ThreatPost