Bản cập nhật Patch Tuesday của Microsoft cho tháng XNUMX đã giải quyết tổng cộng 85 lỗ hổng bảo mật, bao gồm các bản sửa lỗi cho lỗ hổng zero-day được khai thác tích cực trong tự nhiên.
Trong số 85 lỗi, 15 lỗi được xếp hạng Nghiêm trọng, 69 lỗi được xếp hạng Quan trọng và một lỗi được xếp hạng Trung bình về mức độ nghiêm trọng. Tuy nhiên, bản Cập Nhật không bao gồm các biện pháp giảm thiểu cho các lỗi ProxyNotShell được khai thác tích cực trong Exchange Server.
Các bản vá lỗi đi kèm với các bản cập nhật để giải quyết 12 lỗi khác trong trình duyệt Edge dựa trên Chromium đã được phát hành kể từ đầu tháng.
Đứng đầu danh sách các bản vá lỗi của tháng này là CVE-2022-41033 (điểm CVSS: 7.8), một lỗ hổng leo thang đặc quyền trong Windows COM + Event System Service. Một nhà nghiên cứu ẩn danh đã được ghi nhận là người đã báo cáo vấn đề.
"Một kẻ tấn công đã khai thác thành công lỗ hổng này có thể giành được các đặc quyền của HỆ THỐNG", công ty cho biết trong một lời khuyên, đồng thời cảnh báo rằng thiếu sót đang được tích cực vũ khí hóa trong các cuộc tấn công trong thế giới thực.
Bản chất của lỗ hổng cũng có nghĩa là vấn đề có khả năng bị xiềng xích với các lỗ hổng khác để leo thang đặc quyền và thực hiện các hành động độc hại trên máy chủ bị nhiễm.
"Lỗ hổng cụ thể này là một sự leo thang đặc quyền cục bộ, có nghĩa là kẻ tấn công sẽ cần phải thực thi mã trên máy chủ để sử dụng khai thác này," Kev Breen, giám đốc nghiên cứu mối đe dọa mạng tại Immersive Labs, cho biết.
Ba độ cao khác của các lỗ hổng đặc quyền đáng chú ý liên quan đến Windows Hyper-V (CVE-2022-37979, điểm CVSS: 7.8), Active Directory Certificate Services (CVE-2022-37976, điểm CVSS: 8.8) và Azure Arc-enabled Kubernetes cluster Connect (CVE-2022-37968, điểm CVSS: 10.0).
Bất chấp thẻ "Khai thác ít có khả năng xảy ra hơn" cho CVE-2022-37968, Microsoft lưu ý rằng việc khai thác thành công lỗ hổng có thể cho phép "người dùng chưa được xác thực nâng cao đặc quyền của họ với tư cách là quản trị viên cụm và có khả năng giành quyền kiểm soát cụm Kubernetes. "
Ở những nơi khác, CVE-2022-41043 (điểm CVSS: 3.3) - một lỗ hổng tiết lộ thông tin trong Microsoft Office - được liệt kê là được biết đến công khai tại thời điểm phát hành. Nó có thể bị khai thác để rò rỉ mã thông báo người dùng và các thông tin nhạy cảm tiềm ẩn khác, Microsoft cho biết.
Cũng được redmond sửa chữa là tám lỗi leo thang đặc quyền trong Windows Kernel, 11 lỗi thực thi mã từ xa trong Windows Point-to-Point Tunneling Protocol và SharePoint Server, và một độ cao khác của lỗ hổng đặc quyền trong mô-đun Print Spooler (CVE-2022-38028, điểm CVSS: 7.8).
Cuối cùng, bản cập nhật Patch Tuesday tiếp tục giải quyết thêm hai lỗi leo thang đặc quyền trong Dịch vụ máy trạm Windows (CVE-2022-38034, điểm CVSS: 4.3) và Giao thức từ xa dịch vụ máy chủ (CVE-2022-38045, điểm CVSS: 8.8).
Công ty bảo mật web Akamai, công ty phát hiện ra hai thiếu sót, cho biết họ "tận dụng lỗ hổng thiết kế cho phép bỏ qua các cuộc gọi lại bảo mật [Microsoft Remote Procedure Call] thông qua bộ nhớ đệm."
Các bản vá phần mềm từ các nhà cung cấp khác
Ngoài Microsoft, các bản cập nhật bảo mật cũng đã được một số nhà cung cấp phát hành để khắc phục hàng chục lỗ hổng, bao gồm -
- Gạch sống
- Người máy
- Dự án Apache
- Quả táo
- Cisco
- Citrix ·
- MÃ SỐ
- Dell
- Phòng F5
- Fortinet (bao gồm một lỗ hổng được khai thác tích cực)
- Phòng thí nghiệm GitLab
- Google Chrome
- Ibm
- Máy tính xách tay Lenovo
- Các bản phân phối Linux Debian, Oracle Linux, Red Hat, SUSE và Ubuntu
- Phương tiện truyền thông
- NVIDIA Việt Nam
- Qualcomm ·
- Samba
- Nhựa
- Schneider điện
- Siemens
- Trend Micro, và
- Máy ảnh VMware