Spoločnosť Microsoft opravila 97 zraniteľností, z toho 9 kritických a 6 zero-day

[Aktualizované 18.1.2022]

Spoločnosť Microsoft vydala balík opráv Patch Tuesday, v ktorom opravila 97 zraniteľností. Deväť z nich bolo označených ako kritickéh a 88 ako závažné. Až 6 z týchto zraniteľností je typu zero-day. Zneužitím týchto zraniteľností môže dôjsť napríklad k vzdialenému vykonaniu kódu, eskalácii privilégií alebo narušeniu dostupnosti služby. Avšak jedna z najnovších aktualizácií pre Windows Server (KB5009624, KB5009557 a KB5009555, KB5009566 a KB5009543) spôsobuje problémy s doménovými radičmi. Preto je potrebné zvážiť jej nasadenie.

Dôsledky

  • Vzdialené vykonanie kódu (RCE)
  • Eskalácia privilégií a vykonávanie príkazov ako administrátor
  • Narušenie dostupnosti služby
  • Predstieranie identity (spoofing)

Opis činnosti

CVE-2021-22947, CVE-2021-36976, CVE-2022-21874, CVE-2022-21919, CVE-2022-21839, CVE-2022-21836, CVE-2022-21907, CVE-2022-21840, CVE-2022-21912, CVE-2022-21898, CVE-2022-21917, CVE-2022-21846, CVE-2022-21857, CVE-2022-21833, CVE-2022-21851 a ďalšie

Spoločnosť Microsoft v rámci januárového Patch Tuesday opravila spolu 97 zraniteľností, pričom 6 z nich bolo typu zero-day. Spoločnosť si nie je vedomá toho, že by tieto zraniteľnosti boli aktívne zneužívané. Deväť chýb bolo klasifikovaných ako kritické a 88 ako závažné.

Medzi zero-day patria nasledujúce zraniteľnosti:

  • CVE-2021-22947 – v open-source knižnici cURL (RCE),
  • CVE-2021-36976 – v open-source knižnici Libarchive (RCE),
  • CVE-2022-21874 – v Local Windows Security Center API (RCE),
  • CVE-2022-21919 – v službe Windows User Profile (eskalácia privilégií),
  • CVE-2022-21839 – vo Windows Event Tracing Discretionary Access Control List (DoS) a
  • CVE-2022-21836 – vo Windows Certificate (spoofing).

Dve z týchto zero-day zraniteľností (CVE-2022-21919 a CVE-2022-21836) majú verejne dostupný kód na ich zneužitie.

Najviac kritická zraniteľnosť CVE-2022-21907, označená ako „wormable“ sa nachádza v HTTP Protocol Stack (http.sys). Zneužitím môže dôjsť k vzdialenému vykonaniu kódu. Vzdialený neoverený útočník by mohol poslať špeciálne vytvorený paket na server využívajúci http.sys. Na spustenie a šírenie infekcie nie je potrebná žiadna interakcia používateľa.

Ďalšia kritická zraniteľnosť CVE-2022-21840 (RCE) sa nachádza v produkte Microsoft Office, pričom pre Office 2019 pre Mac a Microsoft Office LTSC 2021 pre Mac aktuálne neexistujú záplaty. Jedna zo zero-day zraniteľností – CVE-2021-22947 nachádzajúca sa v knižnici cURL umožňuje vzdialené vykonanie kódu, ktoré môže viesť k Man-in-the-Middle útokom. Taktiež dve kritické zraniteľnosti CVE-2022-21912CVE-2022-21898 v jadre DirectX Graphics umožňujú vzdialené vykonanie kódu. Medzi zraniteľnosti umožňujúce RCE tiež patrí CVE-2022-21917, ktorá sa vyskytuje v HEVC Video Extensions. Zraniteľnosť CVE-2022-21846 sa nachádza v serveri Microsoft Exchange. Jej zneužitím tiež môže dôjsť k vzdialenému vykonaniu kódu, avšak útočník sa musí nachádzať v sieti obete.

CVE-2022-21857 vyskytujúca sa v Active Directory Domain Services môže viesť k eskalácii privilégií. Posledná kritická zraniteľnosť CVE-2022-21833 vo Virtual Machine IDE Drive taktiež môže viesť k eskalácii privilégií.

Závažná RCE zraniteľnosť CVE-2022-21851 sa nachádza v klientovi vzdialenej plochy (Remote Desktop Client). Autentifikovaný používateľ môže byť oklamaný, aby sa pripojil k škodlivému serveru vzdialenej pracovnej plochy, v ktorom server odošle špeciálne vytvorené PDU (Server RDP Preconnection) zameriavajúc sa na virtuálny kanál presmerovania jednotky vzdialeného klienta.

Je však dôležité spomenúť, že jedna z najnovších aktualizácií pre Windows Server spôsobuje problémy s doménovými radičmi. Tie sa spontánne reštartujú, Hyper-V sa nespúšťa a zväzky ReFS sú nedostupné. V prípade problémov je preto nutné odstrániť aktualizácie s označením KB5009624, KB5009557KB5009555, KB5009566 a KB5009543. Problémy sa týkajú konkrétne produktov Windows Server 2012 R2, Windows Server 2019 a Windows Server 2022.

Aktualizácia 18.1.2022:

Spoločnosť Microsoft vydala mimoriadne aktualizácie pre zasiahnuté verzie OS Windows, ktoré opravujú chyby tohtomesačného balíka Patch Tuesday. Odstránené sú tak problémy s pripojením VPN, reštartovaním doménových radičov, zlyhaním štartu virtuálnych strojov a pripájaním externých dátových médií formátovaných na ReFS. Časť aktualizácií je dostupná ako voliteľné aktualizácie v službe Windows Update, celý súbor aktualizácií nájdete v Microsoft Update Catalog.

Zraniteľné systémy

  • Open-source knižnica cURL
  • Open-source knižnica Libarchive
  • Local Windows Security Center API
  • Windows User Profile Service
  • Windows Event Tracing Discretionary Access Control List
  • Windows Certificate
  • HTTP Protocol Stack (http.sys)
  • Microsoft Office
  • DirectX Graphics Kernel
  • Microsoft Exchange Server
  • Active Directory Domain Services
  • Virtual Machine IDE Drive
  • Remote Desktop Client
  • a ďalšie

Závažnosť zraniteľnosti

Vysoká

Možné škody

  • Vzdialené vykonanie kódu
  • Eskalácia privilégií
  • Narušenie dostupnosti služby

Odporúčania

Bezodkladná inštalácia januárového balíka záplat Patch Tuesday od spoločnosti Microsoft.

Po nainštalovaní balíka Patch Tuesday doinštalovať opravné aktualizácie podľa verzie OS Windows.

Odkazy

https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2022-patch-tuesday-fixes-6-zero-days-97-flaws/

https://thehackernews.com/2022/01/first-patch-tuesday-of-2022-brings-fix.html

https://threatpost.com/microsoft-wormable-critical-rce-bug-zero-day/177564/

https://www.zdnet.com/article/microsoft-january-2022-patch-tuesday-six-zero-days-over-90-vulnerabilities-fixed/

https://blog.malwarebytes.com/exploits-and-vulnerabilities/2022/01/update-now-microsoft-patches-97-bugs-including-6-zero-days-and-a-wormable-one/

https://www.tenable.com/blog/microsofts-january-2022-patch-tuesday-addresses-97-cves-cve-2022-21907

https://www.bleepingcomputer.com/news/microsoft/new-windows-server-updates-cause-dc-boot-loops-break-hyper-v/

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-fixes-for-windows-server-vpn-bugs/