Microsoft is het jaar begonnen met een grootschalige correctie van kwetsbaarheden, door niet alleen hun reguliere eerste Tuesday-update uit te brengen, die dit keer in totaal 96 kwetsbaarheden omvat, maar ook een heleboel fixes voor de Microsoft Edge-browser uit te brengen (voornamelijk gerelateerd aan de Chromium-engine). Dat zijn meer dan 120 kwetsbaarheden die sinds het begin van het jaar zijn gepatcht. Dit is een duidelijke reden om het besturingssysteem en sommige Microsoft-toepassingen zo snel mogelijk te updaten.
De ernstigste kwetsbaarheden
Negen van de kwetsbaarheden die deze dinsdag werden gedicht, hebben een kritieke beoordeling op de CVSS 3.1-schaal. Twee daarvan zijn gerelateerd aan privilege-escalatie: CVE-2022-21833 in Virtual Machine IDE Drive en CVE-2022-21857 in Active Directory Domain Services. Uitbuiting van de andere zeven kan een aanvaller de mogelijkheid geven om op afstand code uit te voeren:
CVE-2022-21917 in HEVC Video Extensions;
CVE-2022-21912 en CVE-2022-21898 in DirectX Graphics Kernel;
CVE-2022-21846 in Microsoft Exchange Server;
CVE-2022-21840 in Microsoft Office;
CVE-2021-22947 in Open Source Curl;
CVE-2022-21907 in HTTP Protocol Stack.
Die laatste lijkt de meest onaangename kwetsbaarheid te zijn. Een bug in de HTTP-protocolstack stelt aanvallers theoretisch niet alleen in staat om de getroffen computer willekeurige code te laten uitvoeren, maar ook om de aanval over het lokale netwerk te verspreiden (volgens Microsoft-terminologie wordt de kwetsbaarheid geclassificeerd als <em>wormable</em> – dat wil zeggen dat het kan worden gebruikt om een worm te creëren). Deze kwetsbaarheid is relevant voor Windows 10, Windows 11, Windows Server 2022 en Windows Server 2019. Volgens Microsoft is hij echter alleen gevaarlijk voor gebruikers van Windows Server 2019 en Windows 10 versie 1809 als ze HTTP Trailer Support inschakelen met de EnableTrailerSupport-sleutel in het register.
Deskundigen toonden zich ook bezorgd over de aanwezigheid van een andere ernstige kwetsbaarheid in Microsoft Exchange Server – CVE-2022-21846 (die overigens niet de enige Exchange-bug op de lijst is, maar wel de gevaarlijkste). Hun bezorgdheid is volkomen begrijpelijk, want niemand wil een herhaling van de golf van uitgebuite kwetsbaarheden in Exchange van vorig jaar.
Kwetsbaarheden met PoCs
Sommige van de verholpen kwetsbaarheden waren al bekend bij de beveiligingsgemeenschap. Bovendien heeft iemand er al proofs of concept voor gepubliceerd:
CVE-2022-21836 — Windows certificate spoofing-kwetsbaarheid;
CVE-2022-21839 — Windows event tracing discretionary access control list denial of service-kwetsbaarheid;
CVE-2022-21919 — Windows user profile service elevation of privilege-kwetsbaarheid.
We hebben nog geen echte aanvallen waargenomen waarbij van deze kwetsbaarheden gebruik is gemaakt. De proofs of concept zijn echter al openbaar, dus de exploitatie kan op elk moment beginnen.
Zo blijft u veilig
Ten eerste moet u uw besturingssysteem (en andere programma’s van Microsoft) zo snel mogelijk bijwerken. Over het algemeen is het verstandig de installatie van patches voor kritieke software niet uit te stellen.
Ten tweede moet elke computer of server die met het internet is verbonden worden uitgerust met een betrouwbare beveiligingsoplossing waarmee niet alleen de exploitatie van bekende kwetsbaarheden kan worden voorkomen, maar ook aanvallen met nog onbekende exploits kunnen worden opgespoord.