Spoločnosť Microsoft opravila 97 zraniteľností, z toho 9 kritických a 6 zero-day
[Aktualizované 18.1.2022]
Spoločnosť Microsoft vydala balík opráv Patch Tuesday, v ktorom opravila 97 zraniteľností. Deväť z nich bolo označených ako kritickéh a 88 ako závažné. Až 6 z týchto zraniteľností je typu zero-day. Zneužitím týchto zraniteľností môže dôjsť napríklad k vzdialenému vykonaniu kódu, eskalácii privilégií alebo narušeniu dostupnosti služby. Avšak jedna z najnovších aktualizácií pre Windows Server (KB5009624, KB5009557 a KB5009555, KB5009566 a KB5009543) spôsobuje problémy s doménovými radičmi. Preto je potrebné zvážiť jej nasadenie.
Dôsledky
- Vzdialené vykonanie kódu (RCE)
- Eskalácia privilégií a vykonávanie príkazov ako administrátor
- Narušenie dostupnosti služby
- Predstieranie identity (spoofing)
Opis činnosti
CVE-2021-22947, CVE-2021-36976, CVE-2022-21874, CVE-2022-21919, CVE-2022-21839, CVE-2022-21836, CVE-2022-21907, CVE-2022-21840, CVE-2022-21912, CVE-2022-21898, CVE-2022-21917, CVE-2022-21846, CVE-2022-21857, CVE-2022-21833, CVE-2022-21851 a ďalšie
Spoločnosť Microsoft v rámci januárového Patch Tuesday opravila spolu 97 zraniteľností, pričom 6 z nich bolo typu zero-day. Spoločnosť si nie je vedomá toho, že by tieto zraniteľnosti boli aktívne zneužívané. Deväť chýb bolo klasifikovaných ako kritické a 88 ako závažné.
Medzi zero-day patria nasledujúce zraniteľnosti:
- CVE-2021-22947 – v open-source knižnici cURL (RCE),
- CVE-2021-36976 – v open-source knižnici Libarchive (RCE),
- CVE-2022-21874 – v Local Windows Security Center API (RCE),
- CVE-2022-21919 – v službe Windows User Profile (eskalácia privilégií),
- CVE-2022-21839 – vo Windows Event Tracing Discretionary Access Control List (DoS) a
- CVE-2022-21836 – vo Windows Certificate (spoofing).
Dve z týchto zero-day zraniteľností (CVE-2022-21919 a CVE-2022-21836) majú verejne dostupný kód na ich zneužitie.
Najviac kritická zraniteľnosť CVE-2022-21907, označená ako „wormable“ sa nachádza v HTTP Protocol Stack (http.sys). Zneužitím môže dôjsť k vzdialenému vykonaniu kódu. Vzdialený neoverený útočník by mohol poslať špeciálne vytvorený paket na server využívajúci http.sys. Na spustenie a šírenie infekcie nie je potrebná žiadna interakcia používateľa.
Ďalšia kritická zraniteľnosť CVE-2022-21840 (RCE) sa nachádza v produkte Microsoft Office, pričom pre Office 2019 pre Mac a Microsoft Office LTSC 2021 pre Mac aktuálne neexistujú záplaty. Jedna zo zero-day zraniteľností – CVE-2021-22947 nachádzajúca sa v knižnici cURL umožňuje vzdialené vykonanie kódu, ktoré môže viesť k Man-in-the-Middle útokom. Taktiež dve kritické zraniteľnosti CVE-2022-21912 a CVE-2022-21898 v jadre DirectX Graphics umožňujú vzdialené vykonanie kódu. Medzi zraniteľnosti umožňujúce RCE tiež patrí CVE-2022-21917, ktorá sa vyskytuje v HEVC Video Extensions. Zraniteľnosť CVE-2022-21846 sa nachádza v serveri Microsoft Exchange. Jej zneužitím tiež môže dôjsť k vzdialenému vykonaniu kódu, avšak útočník sa musí nachádzať v sieti obete.
CVE-2022-21857 vyskytujúca sa v Active Directory Domain Services môže viesť k eskalácii privilégií. Posledná kritická zraniteľnosť CVE-2022-21833 vo Virtual Machine IDE Drive taktiež môže viesť k eskalácii privilégií.
Závažná RCE zraniteľnosť CVE-2022-21851 sa nachádza v klientovi vzdialenej plochy (Remote Desktop Client). Autentifikovaný používateľ môže byť oklamaný, aby sa pripojil k škodlivému serveru vzdialenej pracovnej plochy, v ktorom server odošle špeciálne vytvorené PDU (Server RDP Preconnection) zameriavajúc sa na virtuálny kanál presmerovania jednotky vzdialeného klienta.
Je však dôležité spomenúť, že jedna z najnovších aktualizácií pre Windows Server spôsobuje problémy s doménovými radičmi. Tie sa spontánne reštartujú, Hyper-V sa nespúšťa a zväzky ReFS sú nedostupné. V prípade problémov je preto nutné odstrániť aktualizácie s označením KB5009624, KB5009557, KB5009555, KB5009566 a KB5009543. Problémy sa týkajú konkrétne produktov Windows Server 2012 R2, Windows Server 2019 a Windows Server 2022.
Aktualizácia 18.1.2022:
Spoločnosť Microsoft vydala mimoriadne aktualizácie pre zasiahnuté verzie OS Windows, ktoré opravujú chyby tohtomesačného balíka Patch Tuesday. Odstránené sú tak problémy s pripojením VPN, reštartovaním doménových radičov, zlyhaním štartu virtuálnych strojov a pripájaním externých dátových médií formátovaných na ReFS. Časť aktualizácií je dostupná ako voliteľné aktualizácie v službe Windows Update, celý súbor aktualizácií nájdete v Microsoft Update Catalog.
Zraniteľné systémy
- Open-source knižnica cURL
- Open-source knižnica Libarchive
- Local Windows Security Center API
- Windows User Profile Service
- Windows Event Tracing Discretionary Access Control List
- Windows Certificate
- HTTP Protocol Stack (http.sys)
- Microsoft Office
- DirectX Graphics Kernel
- Microsoft Exchange Server
- Active Directory Domain Services
- Virtual Machine IDE Drive
- Remote Desktop Client
- a ďalšie
Závažnosť zraniteľnosti
Vysoká
Možné škody
- Vzdialené vykonanie kódu
- Eskalácia privilégií
- Narušenie dostupnosti služby
Odporúčania
Bezodkladná inštalácia januárového balíka záplat Patch Tuesday od spoločnosti Microsoft.
Po nainštalovaní balíka Patch Tuesday doinštalovať opravné aktualizácie podľa verzie OS Windows.
Odkazy
https://thehackernews.com/2022/01/first-patch-tuesday-of-2022-brings-fix.html
https://threatpost.com/microsoft-wormable-critical-rce-bug-zero-day/177564/
https://www.tenable.com/blog/microsofts-january-2022-patch-tuesday-addresses-97-cves-cve-2022-21907