Microsoft naprawia 3 zero-day’e oraz inne krytyczne błędy

Tak się złożyło, że w tym miesiącu Security Patch Tuesday (comiesięczne, wtorkowe wydawanie poprawek błędów zgłoszonych dla oprogramowania) wypadł 8 marca, czyli w święto Dnia Kobiet. Korzystając z okazji pragniemy złożyć wszystkim kobietom pracującym w cybersecurity oraz naszym czytelniczkom, spóźnione Wszystkiego Najlepszego!

Naprawione zero-day’e

1. CVE-2022-21990
   
   Pierwszy z trzech zero-day, które Microsoft naprawił w marcowej poprawce, zawiera błąd zdalnego wykonania kodu w kliencie zdalnego pulpitu Windows (RDP client). O podobnej podatności pisaliśmy tutaj. Luka o numerze CVE-2022-21990 otrzymała ocenę ważności z wynikiem CVSS wynoszącym 8,3. Wykorzystanie błędu wymagała od atakującego jedynie nakłonienia klienta docelowego do połączenia się ze złośliwym serwerem RDP – „ można wywołać zdalne wykonanie kodu (RCE) na komputerze klienta RDP, gdy ofiara łączy się z atakującym serwerem z podatnym klientem pulpitu zdalnego”.
   
   
2. CVE-2022-24459
   
   Drugi zero-day o numerze CVE-2022-24459, to błąd o istotnym znaczeniu, osiągający wynik CVSS wynoszący 7,8. Podatność wpływa na usługę faksowania i skanowania systemu Windows. Wykorzystywanie błędu może prowadzić do eskalacji uprawnień (podniesienia uprawnień), więc może być aktywnie stosowany przez atakujących.
   
   
3. CVE-2022-24512
   
   Gigant technologiczny opisał także trzeci błąd bezpieczeństwa CVE-2022-24512 jako zdalne wykonanie kodu w .NET i Visual Studio. Microsoft wymienił ją jako ważną lukę w zabezpieczeniach, która uzyskała wynik CVSS 6,3.
   
   

Inne ważne błędy

Wśród regularnych aktualizacji wydanych w pierwszy marcowy wtorek miesiąca Microsoft naprawił także trzy krytyczne luki prowadzące do zdalnego wykonania kodu po ich wykorzystaniu”

1. Pierwszy dotyczy Microsoft Exchange Server (CVE-2022-23277, CVSS: 8.8),
2. Drugi błąd w VP9 Video Extensions (CVE-2022-24501, CVSS: 7.8)
3. Błąd HEVC Video Extensions (CVE-2022-22006, CVSS: 7.8).

Poza tym wszystkie inne luki w zabezpieczeniach obejmują błędy o istotnym znaczeniu, powodujące eskalację uprawnień, zdalne wykonanie kodu, podszywanie się i ujawnianie informacji.
Niektóre z godnych uwagi błędów to:

• CVE-2022-24508: błąd zdalnego wykonania kodu (CVSS 8.8) w Windows SMBv3 Client/Server
• CVE-2022-23266: eskalacja uprawnień (CVSS 7.8) w Microsoft Defender dla IoT
• CVE-2022-23285: zdalne wykonanie kodu (CVSS 8.8) mające wpływ na klienta usług pulpitu zdalnego
• CVE-2022-24464: błąd odmowy usługi (CVSS 7.5) mający wpływ na platformy .NET i Visual Studio

Microsoft potwierdził, że wszystkie trzy luki zero- day uniknęły aktywnego wykorzystania w środowiska produkcyjnych, lecz trzeba pamiętać, że błędy były publicznie znane przed poprawkami. Warto sprawdzić Wasze systemy, czy wcześniej nie było prób ich eksploitowania pod kątem powyższych błędów oraz jak najszybciej zaktualizować systemy.