Vòng cập nhật bảo mật hàng tháng mới nhất của Microsoft đã được phát hành với các bản sửa lỗi cho 68 lỗ hổng trải dài trong danh mục phần mềm của hãng, bao gồm các bản vá cho sáu lỗ hổng được khai thác tích cực.
12 trong số các vấn đề được xếp hạng Quan trọng, hai vấn đề được đánh giá Cao và 55 được xếp hạng Quan trọng về mức độ nghiêm trọng. Điều này cũng bao gồm những điểm yếu đã được OpenSSLđóng lại vào tuần trước.
Cũng được giải quyết riêng vào đầu tháng là một lỗ hổng được khai thác tích cực trong các trình duyệt dựa trên Chromium (CVE-2022-3723) đã được Google cắm như một phần của bản cập nhật ngoài băng tần vào cuối tháng trước.
"Tin tức quan trọng là hai CVE cũ hơn zero-day ảnh hưởng đến Exchange Server, được công khai vào cuối tháng 7, cuối cùng đã được sửa chữa," Greg Wiseman, giám đốc sản phẩm tại Rapid7, cho biết trong một tuyên bố được chia sẻ với The Hacker VN.
"Khách hàng nên cập nhật hệ thống Exchange Server của họ ngay lập tức, bất kể đã áp dụng bất kỳ bước giảm thiểu nào được khuyến nghị trước đó hay chưa. Các quy tắc giảm thiểu không còn được khuyến nghị sau khi các hệ thống đã được vá lỗi ".
Danh sách các lỗ hổng được khai thác tích cực, cho phép nâng cao đặc quyền và thực thi mã từ xa, như sau -
- CVE-2022-41040 (điểm CVSS: 8.8) - Nâng cao Microsoft Exchange Server của lỗ hổng đặc quyền (hay còn gọi là ProxyNotShell)
- CVE-2022-41082 (điểm CVSS: 8.8) - Nâng cao Microsoft Exchange Server của lỗ hổng đặc quyền (hay còn gọi là ProxyNotShell)
- CVE-2022-41128 (điểm CVSS: 8.8) - Windows Scripting Languages Lỗ hổng thực thi mã từ xa
- CVE-2022-41125 (Điểm CVSS: 7.8) - Windows CNG Key Isolation Service Elevation của lỗ hổng đặc quyền
- CVE-2022-41073 (CVSS điểm: 7.8) - Windows Print Spooler Elevation của lỗ hổng đặc quyền
- CVE-2022-41091(điểm CVSS: 5.4) - Dấu Windows của tính năng bảo mật web Bỏ qua lỗ hổng
Benoît Sevens và Clément Lecigne thuộc Nhóm Phân tích Mối đe dọa (TAG) của Google đã được ghi nhận là người đã báo cáo CVE-2022-41128, nằm trong thành phần JScript9 và xảy ra khi một mục tiêu bị lừa truy cập vào một trang web được chế tạo đặc biệt.
CVE-2022-41091 là một trong hai lỗ hổng bỏ qua bảo mật trong Windows Mark of the Web (MoTW) được đưa ra ánh sáng trong vài tháng qua. Nó gần đây đã được phát hiện là vũ khí hóa bởi diễn viên ransomware Magniber để nhắm mục tiêu người dùng bằng các bản cập nhật phần mềm giả mạo.
"Kẻ tấn công có thể tạo ra một tệp độc hại có thể trốn tránh hệ thống phòng thủ của Mark of the Web (MotW), dẫn đến việc mất tính toàn vẹn và tính khả dụng của các tính năng bảo mật như Chế độ xem được bảo vệ trong Microsoft Office, dựa trên việc gắn thẻ MotW," Microsoft cho biết trong một lời khuyên.
Lỗ hổng MotW thứ hai cần được giải quyết là CVE-2022-41049 (hay còn gọi làZippyReads). Được báo cáo bởi nhà nghiên cứu bảo mật Analygence Will Dormann, nó liên quan đến việc không đặt cờ Mark of the Web thành các tệp lưu trữ được trích xuất.
Kev Breen, giám đốc nghiên cứu mối đe dọa mạng tại Immersive Labs, cho biết, hai lỗ hổng leo thang đặc quyền trong Print Spooler và Dịch vụ cách ly khóa CNG có khả năng bị lạm dụng bởi các tác nhân đe dọa như một phần tiếp theo của sự thỏa hiệp ban đầu và giành được các đặc quyền HỆ THỐNG.
Breen nói thêm: "Mức độ truy cập cao hơn này là cần thiết để vô hiệu hóa hoặc giả mạo các công cụ giám sát bảo mật trước khi chạy các cuộc tấn công thông tin xác thực bằng các công cụ như Mimikatz có thể cho phép những kẻ tấn công di chuyển ngang qua mạng.
Bốn lỗ hổng được xếp hạng nghiêm trọng khác trong bản vá tháng XNUMX đáng được chỉ ra là lỗi nâng cao đặc quyền trong Windows Kerberos (CVE-2022-37967), Kerberos RC4-HMAC (CVE-2022-37966) và Microsoft Exchange Server (CVE-2022-41080) và lỗ hổng từ chối dịch vụ ảnh hưởng đến Windows Hyper-V (CVE-2022-38015).
Danh sách các bản sửa lỗi cho các lỗ hổng nghiêm trọng được kết thúc bởi bốn lỗ hổng thực thi mã từ xa trong Giao thức đường hầm điểm-điểm (PPTP), tất cả đều có điểm CVSS là 8.1 (CVE-2022-41039, CVE-2022-41088 và CVE-2022-41044), và một ngôn ngữ kịch bản khác ảnh hưởng đến Windows JScript9 và Chakra (CVE-2022-41118).
Ngoài những vấn đề này, bản cập nhật Patch Tuesday cũng giải quyết một số lỗi thực thi mã từ xa trong Microsoft Excel, Word, ODBC Driver, Office Graphics, SharePoint Server và Visual Studio, cũng như một số lỗi báo cáo đặc quyền trong Win32k, Overlay Filter và Group Policy.
Bản vá phần mềm từ các nhà cung cấp khác
Microsoft sang một bên, các bản cập nhật bảo mật cũng đã được phát hành bởi các nhà cung cấp khác kể từ đầu tháng để khắc phục một số lỗ hổng, bao gồm: