2022年的開春,企業IT管理人員可能會忙碌一些了,因為微軟在今年1月的Patch Tuesday總計修補了96個安全漏洞,當中有9個被列為重大(Critical)漏洞,還有6個為零時差漏洞,不過,相關漏洞尚未遭到駭客開採。

9個重大漏洞分別是開源專案Curl的遠端程式攻擊漏洞CVE-2021-22947、Active Directory網域服務的權限擴張漏洞CVE-2022-21857、兩個DirectX繪圖核心的遠端程式攻擊漏洞CVE-2022-21912CVE-2022-21898、HEVC Video Extensions遠端程式攻擊漏洞CVE-2022-21917、HTTP協定架構的遠端程式攻擊漏洞CVE-2022-21907、Exchange Server遠端程式攻擊漏洞CVE-2022-21846、Office遠端程式攻擊漏洞CVE-2022-21840,以及Virtual Machine IDE Drive權限擴張漏洞CVE-2022-21833

至於6個零時差漏洞中,除了CVE-2021-22947 與上述重疊之外,其它5個分別是Libarchive遠端程式攻擊漏洞CVE-2021-36976、Windows User Profile Service權限擴張漏洞CVE-2022-21919、Windows Certificate欺騙漏洞CVE-2022-21836、Windows Event Tracing Discretionary Access Control List服務阻斷漏洞CVE-2022-21839,以及Windows Security Center API遠端程式攻擊漏洞CVE-2022-21874

其中,涉及Curl與Libarchive的安全漏洞先前就已被各自的維護者修補,只是微軟本周才於Windows中修補它們。

Zero Day Initiative(ZDI)特別點名了4個重要漏洞,包括CVE-2022-21907CVE-2022-21846CVE-2022-21840CVE-2022-21857 。駭客只要傳送一個特製的封包到一個利用http.sys的系統進行處理,就能開採CVE-2022-21907,取得系統的執行權限,完全不需與使用者互動或事先取得特權,並可演變成蠕蟲漏洞。且除了伺服器之外,Windows客戶端也都能執行http.sys,代表所有的版本都受到該漏洞的影響。

微軟與ZDI都將CVE-2022-21907列為必須優先修補的漏洞。

微軟在本月修補了3個Exchange Server漏洞,雖然它們的CVSS風險評分都高達9,但只有CVE-2022-21846被列為重大等級,它很可能被開採,並讓駭客取得Exchange Server的控制權,但前提是駭客必須與目標對象共享實體網路,例如藍牙、本地端的IP子網路或其它受限的管理網域等。

此外,大多數的Office漏洞都只被列為重大(Important)等級,因為相關漏洞多半需要與使用者互動才能開採,而且會跳出警告視窗,然而,CVE-2022-21840漏洞卻在使用者開啟特製的檔案時沒有任何的警告。

ZDI提醒,此次微軟也釋出其它更新來修補CVE-2022-21840,應記得一併部署,而Office 2019 for Mac及Microsoft Office LTSC for Mac 2021等版本的修補程式則尚未出爐。

熱門新聞

Advertisement