Teknikgiganten Microsoft sendte tirsdag rettelser for å oppheve 64 nye sikkerhetsfeil på tvers av programvareutvalget, inkludert en null-dagers feil som har blitt aktivt utnyttet i virkelige angrep.
Av de 64 feilene er fem vurdert som kritiske, 57 er vurdert som viktige, en er vurdert som moderat, og en er vurdert som lav i alvorlighetsgrad. Lappene kommer i tillegg til 16 sårbarheter som Microsoft adresserte i sin Chromium-baserte Edge-nettleser tidligere denne måneden.
“Når det gjelder CVE-er som er utgitt, kan denne patch-tirsdag vises på den lettere siden sammenlignet med andre måneder,” sa Bharat Jogi, direktør for sårbarhets- og trusselforskning ved Qualys, i en uttalelse delt med The Hacker News.
“Men denne måneden nådde en betydelig milepæl for kalenderåret, med MSFT som har fikset den 1000. CVE i 2022 – sannsynligvis på vei til å overgå 2021 som har lappet 1200 CVEer totalt.”
Den aktivt utnyttede sårbarheten det er snakk om er CVE-2022-37969 (CVSS-poengsum: 7,8), en privilegie-eskaleringsfeil som påvirker Windows Common Log File System (CLFS) Driver, som kan utnyttes av en motstander for å få SYSTEM-privilegier på en allerede kompromittert eiendel.
“En angriper må allerede ha tilgang og evne til å kjøre kode på målsystemet. Denne teknikken tillater ikke ekstern kjøring av kode i tilfeller der angriperen ikke allerede har denne evnen på målsystemet,” sa Microsoft i et råd.
Teknologigiganten krediterte fire forskjellige sett med forskere fra CrowdStrike, DBAPPSecurity, Mandiant og Zscaler for å ha rapportert feilen, som kan være en indikasjon på utbredt utnyttelse i naturen, sa Greg Wiseman, produktsjef hos Rapid7, i en uttalelse.
CVE-2022-37969 er også den andre aktivt utnyttede nulldagersfeilen i CLFS-komponenten etter CVE-2022-24521 (CVSS-poengsum: 7,8), sistnevnte ble løst av Microsoft som en del av oppdateringene for april 2022 Patch Tuesday.
Det er ikke umiddelbart klart om CVE-2022-37969 er en patch-bypass for CVE-2022-24521. Andre kritiske feil i notatet er som følger –
- CVE-2022-34718 (CVSS-poengsum: 9,8) – Windows TCP/IP-sårbarhet for ekstern kjøring av kode
- CVE-2022-34721 (CVSS-score: 9,8) – Windows Internet Key Exchange (IKE) Protocol Extensions Ekstern kodeutførelsessårbarhet
- CVE-2022-34722 (CVSS-score: 9,8) – Windows Internet Key Exchange (IKE) Protocol Extensions Ekstern kodeutførelsessårbarhet
- CVE-2022-34700 (CVSS-poengsum: 8,8) – Microsoft Dynamics 365 (on-premises) Sårbarhet for ekstern kjøring av kode
- CVE-2022-35805 (CVSS-poengsum: 8,8) – Microsoft Dynamics 365 (on-premises) Sårbarhet for ekstern kjøring av kode
“En uautentisert angriper kan sende en spesiallaget IP-pakke til en målmaskin som kjører Windows og har IPSec aktivert, noe som kan muliggjøre ekstern kjøring av kode,” sa Microsoft om CVE-2022-34721 og CVE-2022-34722.
Også løst av Microsoft er 15 eksterne kodeutførelsesfeil i Microsoft ODBC-driverMicrosoft OLE DB Provider for SQL Server, og Microsoft SharePoint Server og fem rettighetsopptrappingsfeil som spenner over Windows Kerberos og Windows Kernel.
September-utgivelsen er videre kjent for å lappe enda en utvidelse av privilegietssårbarhet i Print Spooler-modulen (CVE-2022-38005CVSS-score: 7,8) som kan misbrukes for å få tillatelser på SYSTEM-nivå.
Til slutt, inkludert i rekken av sikkerhetsoppdateringer er en rettelse utgitt av chipmaker Arm for en spekulativ utførelsessårbarhet kalt Branch History Injection eller Spectre-BHB (CVE-2022-23960) som kom frem tidligere i mars.
“Denne klassen av sårbarheter utgjør en stor hodepine for organisasjonene som forsøker å redusere dem, siden de ofte krever oppdateringer av operativsystemene, fastvaren og i noen tilfeller en rekompilering av applikasjoner og herding,” sa Jogi. “Hvis en angriper lykkes med å utnytte denne typen sårbarhet, kan de få tilgang til sensitiv informasjon.”
Programvareoppdateringer fra andre leverandører
Bortsett fra Microsoft, har sikkerhetsoppdateringer også blitt utgitt av andre leverandører siden begynnelsen av måneden for å rette opp dusinvis av sårbarheter, inkludert –