Microsoft พบช่องโหว่ที่สามารถแพร่กระจายในลักษณะ Wormable, ช่องโหว่ RCE ในระดับ Critical และ 6 ช่องโหว่ Zero-Days

 

การอัปเดต Patch Tuesday ครั้งใหญ่ในเดือนมกราคม 2022 ของ Microsoft ** ครอบคลุม CVE ที่สำคัญ 9 รายการ

Microsoft ได้แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 97 รายการในการอัปเดต Patch Tuesday ประจำเดือนมกราคมปี 2022 โดย 9 รายการอยู่ในอันดับ Critical รวมถึง 6 รายการที่มีสถานะเป็น Zero-days ที่ถูกเปิดเผยออกสู่สาธารณะ

การแก้ไขครอบคลุมกลุ่มผลิตภัณฑ์คอมพิวเตอร์ค่ายใหญ่ทั้งหลาย ซึ่งรวมถึง: Microsoft Windows และ Windows Components, Microsoft Edge (ที่ใช้ Chromium), Exchange Server, Microsoft Office และ Office Components, SharePoint Server, .NET Framework, Microsoft Dynamics, ซอฟต์แวร์โอเพ่นซอร์ส , Windows Hyper-V, Windows Defender และ Windows Remote Desktop Protocol (RDP)

Dustin Childs นักวิจัยจาก Zero Day Initiative (ZDI) ของ Trend Micro อธิบายว่า "นี่เป็นการอัปเดตครั้งใหญ่มากผิดปกติในเดือนมกราคม" "ในช่วงไม่กี่ปีที่ผ่านมา จำนวนแพตช์เฉลี่ยที่ออกในเดือนมกราคมมีประมาณครึ่งหนึ่งของครั้งนี้ มีแนวโน้มว่าเราอาจจะพบการอัพเดทจำนวนมากระดับนี้ตลอดทั้งปี"

Zero-Day Tsunami

ถึงจะมี Zero-Day ออกมาจำนวนมาก แต่ยังไม่มี Zero-Day ตัวใดที่ถูกระบุว่าถูกนำไปใช้โจมตีอย่างชัดเจน แม้ว่าจะมีสองรหัสได้แก่ CVE-2022-21919 และ CVE-2022-21836 ที่ถูกนำไปใช้อย่างแพร่หลาย จากทั้งหมดนี้

CVE-2021-22947: HackerOne-assigned CVE in open-source Curl library (RCE)
CVE-2021-36976: MITRE-assigned CVE in open-source Libarchive (RCE)
CVE-2022-21874: Local Windows Security Center API (RCE, CVSS score of 7.8)
CVE-2022-21919: Windows User Profile Service (privilege escalation, CVSS 7.0)
CVE-2022-21839: Windows Event Tracing Discretionary Access Control List (denial-of-service, CVSS 6.1).
CVE-2022-21836: Windows Certificate (spoofing, CVSS 7.8).

cURL bug ถูกเปิดเผยโดย HackerOne เมื่อเดือนกันยายน 2564 Childs กล่าวในการวิเคราะห์ Patch Tuesday ของ ZDI"
และแพตช์นี้ได้รวมไลบรารี cURL ล่าสุดไว้ในผลิตภัณฑ์ของ Microsoft ด้วยนี่คือเหตุผลที่ CVE นี้ถูกทำให้รู้จักกันอย่างแพร่หลาย ในทำนองเดียวกัน แพตช์สำหรับไลบรารี Libarchive ก็ถูกเปิดเผยในปี 2021 และเวอร์ชันล่าสุดของไลบรารีนี้กำลังถูกรวมเข้ากับผลิตภัณฑ์ของ Microsoft ด้วย"

ช่องโหว่ระดับ Critical และช่องโหว่ในลักษณะ Wormable แนะนำให้รีบ Patch โดยทันที

ปัญหา Remote Code-execution (RCE) ในสแต็คโปรโตคอล HTTP นั้นเป็นที่สนใจสำหรับนักวิจัย เนื่องจากมันสามารถใช้ในการแพร่กระจายการโจมตีได้อย่างรวดเร็ว กล่าวคือ ช่องโหว่นี้สามารถแพร่กระจายตัวเองได้เองผ่านเครือข่าย โดยไม่จำเป็นต้องให้เหยื่อดำเนินการใดๆ โดยช่องโหว่นี้มีระดับความรุนแรงของช่องโหว่สูงที่สุดของการอัปเดตทั้งหมด โดยมีคะแนนอยู่ที่ 9.8

ช่องโหว่ CVE-2022-21907 ทำงานโดยการส่งแพ็กเก็ตที่สร้างขึ้นเป็นพิเศษไปยังระบบเป้าหมายโดยใช้ HTTP protocol stack (http.