การอัปเดต Patch Tuesday ครั้งใหญ่ในเดือนมกราคม 2022 ของ Microsoft ** ครอบคลุม CVE ที่สำคัญ 9 รายการ

Microsoft ได้แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 97 รายการในการอัปเดต Patch Tuesday ประจำเดือนมกราคมปี 2022 โดย 9 รายการอยู่ในอันดับ Critical รวมถึง 6 รายการที่มีสถานะเป็น Zero-days ที่ถูกเปิดเผยออกสู่สาธารณะ

การแก้ไขครอบคลุมกลุ่มผลิตภัณฑ์คอมพิวเตอร์ค่ายใหญ่ทั้งหลาย ซึ่งรวมถึง: Microsoft Windows และ Windows Components, Microsoft Edge (ที่ใช้ Chromium), Exchange Server, Microsoft Office และ Office Components, SharePoint Server, .NET Framework, Microsoft Dynamics, ซอฟต์แวร์โอเพ่นซอร์ส , Windows Hyper-V, Windows Defender และ Windows Remote Desktop Protocol (RDP)

Dustin Childs นักวิจัยจาก Zero Day Initiative (ZDI) ของ Trend Micro อธิบายว่า "นี่เป็นการอัปเดตครั้งใหญ่มากผิดปกติในเดือนมกราคม" "ในช่วงไม่กี่ปีที่ผ่านมา จำนวนแพตช์เฉลี่ยที่ออกในเดือนมกราคมมีประมาณครึ่งหนึ่งของครั้งนี้ มีแนวโน้มว่าเราอาจจะพบการอัพเดทจำนวนมากระดับนี้ตลอดทั้งปี"

Zero-Day Tsunami

ถึงจะมี Zero-Day ออกมาจำนวนมาก แต่ยังไม่มี Zero-Day ตัวใดที่ถูกระบุว่าถูกนำไปใช้โจมตีอย่างชัดเจน แม้ว่าจะมีสองรหัสได้แก่ CVE-2022-21919 และ CVE-2022-21836 ที่ถูกนำไปใช้อย่างแพร่หลาย จากทั้งหมดนี้

CVE-2021-22947: HackerOne-assigned CVE in open-source Curl library (RCE)
CVE-2021-36976: MITRE-assigned CVE in open-source Libarchive (RCE)
CVE-2022-21874: Local Windows Security Center API (RCE, CVSS score of 7.8)
CVE-2022-21919: Windows User Profile Service (privilege escalation, CVSS 7.0)
CVE-2022-21839: Windows Event Tracing Discretionary Access Control List (denial-of-service, CVSS 6.1).
CVE-2022-21836: Windows Certificate (spoofing, CVSS 7.8).

cURL bug ถูกเปิดเผยโดย HackerOne เมื่อเดือนกันยายน 2564 Childs กล่าวในการวิเคราะห์ Patch Tuesday ของ ZDI"
และแพตช์นี้ได้รวมไลบรารี cURL ล่าสุดไว้ในผลิตภัณฑ์ของ Microsoft ด้วยนี่คือเหตุผลที่ CVE นี้ถูกทำให้รู้จักกันอย่างแพร่หลาย ในทำนองเดียวกัน แพตช์สำหรับไลบรารี Libarchive ก็ถูกเปิดเผยในปี 2021 และเวอร์ชันล่าสุดของไลบรารีนี้กำลังถูกรวมเข้ากับผลิตภัณฑ์ของ Microsoft ด้วย"

ช่องโหว่ระดับ Critical และช่องโหว่ในลักษณะ Wormable แนะนำให้รีบ Patch โดยทันที

ปัญหา Remote Code-execution (RCE) ในสแต็คโปรโตคอล HTTP นั้นเป็นที่สนใจสำหรับนักวิจัย เนื่องจากมันสามารถใช้ในการแพร่กระจายการโจมตีได้อย่างรวดเร็ว กล่าวคือ ช่องโหว่นี้สามารถแพร่กระจายตัวเองได้เองผ่านเครือข่าย โดยไม่จำเป็นต้องให้เหยื่อดำเนินการใดๆ โดยช่องโหว่นี้มีระดับความรุนแรงของช่องโหว่สูงที่สุดของการอัปเดตทั้งหมด โดยมีคะแนนอยู่ที่ 9.8

ช่องโหว่ CVE-2022-21907 ทำงานโดยการส่งแพ็กเก็ตที่สร้างขึ้นเป็นพิเศษไปยังระบบเป้าหมายโดยใช้ HTTP protocol stack (http.

Microsoft ได้อัปเดต Patch Tuesday ในเดือนกรกฎาคม โดยมีการแก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 117 รายการ รวมถึง Zero-Days 9 รายการ ซึ่งผู้ไม่หวังดีสามารถใช้โจมตี และควบคุมเครื่องเหยื่อได้

ช่องโหว่ทั้งหมด 117 รายการมี 13 รายการที่มีระดับความรุนแรงเป็น Critical อีก 103 รายการมีระดับความรุนแรงเป็น Important และ 1 รายการที่มีระดับความรุนแรงเป็น Moderate

การอัปเดตครั้งครอบคลุมผลิตภัณฑ์ต่างๆ ของ Microsoft รวมถึง Windows, Bing, Dynamics, Exchange Server, Office, Scripting Engine, Windows DNS และ Visual Studio Code
ในเดือนกรกฎาคมนี้มีการค้นพบช่องโหว่จำนวนมาก ซึ่งมากกว่าเดือนก่อนหน้านี้คือเดือนพฤษภาคม 55 รายการ และมิถุนายน 50 รายการ

ช่องโหว่ด้านความปลอดภัยที่ถูกนำไปใช้มีดังนี้

CVE-2021-34527 (CVSS score: 8.8) - ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Print Spooler (หรืออีกชื่อที่รู้จักกัน "PrintNightmare")
CVE-2021-31979 (CVSS score: 7.8) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Windows Kernel
CVE-2021-33771 (CVSS score: 7.8) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Windows Kernel
CVE-2021-34448 (CVSS score: 6.8) - Scripting Engine Memory Corruption Vulnerability

ซึ่งทาง Microsoft ยังเน้นย้ำถึงการโจมตีของ CVE-2021-34448 ว่าผู้ไม่หวังดีอาจจะหลอกให้เหยื่อนั้น คลิกลิงก์ที่นำไปสู่เว็บไซต์ที่เป็นอันตรายที่ผู้ไม่หวังดีเตรียมไว้ และเว็บไซต์นั้นจะมีไฟล์ที่สร้างขึ้นเป็นพิเศษซึ่งออกแบบมาเพื่อใช้โจมตีช่องโหว่

มีช่องโหว่ Zero-Days ที่เปิดเผยต่อสาธารณะ 5 รายการ แต่ยังไม่ได้ถูกนำไปใช้ในการโจมตีจริง มีดังนี้

CVE-2021-34473 (CVSS score: 9.1) - ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Microsoft Exchange Server
CVE-2021-34523 (CVSS score: 9.0) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Microsoft Exchange Server
CVE-2021-33781 (CVSS score: 8.1) - ช่องโหว่การ Bypass ฟีเจอร์รักษาความปลอดภัย Active Directory
CVE-2021-33779 (CVSS score: 8.1) - ช่องโหว่การ Bypass ฟีเจอร์รักษาความปลอดภัย Windows ADFS
CVE-2021-34492 (CVSS score: 8.1) - ช่องโหว่การปลอมแปลงของ Certificate Windows

ช่องโหว่ที่สำคัญอื่นๆ ที่ Microsoft ได้แก้ไขไปนั้น ได้แก่ ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลต่อ Windows DNS Server (CVE-2021-34494, CVSS score 8.8) และ Windows Kernel (CVE-2021-34458) ที่ได้การจัดระดับความรุนแรง CVSS score 9.9

"ปัญหานี้ทำให้อุปกรณ์ single root input/output virtualization (SR-IOV) ที่ถูกกำหนดให้เป็น Guest อาจรบกวนการทำงานของ Peripheral Component Interface Express (PCIe) ที่ต่ออยู่กับ Guest หรือ Root อื่นๆ ได้" Microsoft ระบุไว้ในคำแนะนำสำหรับ CVE-2021-34458 เมื่อเพิ่ม Windows instances ที่ Host ของ Virtual Machines ก็มีความเสี่ยงที่จะพบกับช่องโหว่นี้

Bharat Jogi ผู้เชี่ยวชาญจาก Qualys บอกกับ The Hacker News ว่า "Patch Tuesday นี้ออกมาเพียงไม่กี่วันหลังจากที่มีการเผยแพร่การอัปเดต out-of-band Patch เพื่อแก้ไข PrintNightmare ซึ่งเป็นช่องโหว่ที่สำคัญใน Windows Print Spooler service ที่พบใน Windows ทุกรุ่น"

"แม้ว่า MSFT ได้ออก Patch เพื่อแก้ไขช่องโหว่แล้ว แต่ผู้ใช้ยังคงต้องแน่ใจว่าการกำหนดค่าที่จำเป็นได้รับการตั้งค่าอย่างถูกต้อง ระบบที่มีการกำหนดค่าผิดพลาดจะยังคงเสี่ยงต่อการถูกโจมตี แม้ว่าจะอัปเดต Patch ล่าสุดแล้วก็ตาม PrintNightmare นั้นเป็นปัญหาร้ายแรงอย่างยิ่ง ที่เน้นย้ำถึงความสำคัญของการตรวจจับ และการแก้ไข" Jogi กล่าวเสริม

ช่องโหว่ PrintNightmare ยังกระตุ้นให้หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉิน ให้หน่วยงานของรัฐบาลกลางทำการอัปเดตความปลอดภัยล่าสุดทันที และปิด Windows Print Spooler service บนเซิร์ฟเวอร์ และบน Microsoft Active Directory Domain Controllers.

IBM ปฏิเสธที่จะแก้ไข หลังนักวิจัยทำการเผยช่องโหว่ ‘Zero-days’ 4 รายการใน IBM Data Risk Manager

Pedro Ribeiro ผู้อำนวยการฝ่ายวิจัยของ Agile Information Security ได้เปิดเผยช่องโหว่ ‘Zero-days’ 4 รายการใน IBM Data Risk Manager (IDRM) และทำการรายงานต่อ IBM โดยนักวิจัยด้านความปลอดภัยจาก IBM ปฏิเสธที่จะแก้ไขและยอมรับรายงานช่องโหว่ที่ส่งผ่าน CERT / CC

หลังจากถูกปฏิเสธ Pedro ตัดสินใจเผยเเพร่ช่องโหว่ที่ค้นพบลง GitHub ซึ่งช่องโหว่ที่เเพร่นี้ถูกพบใน IBM Data Risk Manager (IDRM) ซึ่งเป็นเครื่องมือที่ออกแบบมาเพื่อช่วย วิเคราะห์ข้อมูลและแสดงภาพความเสี่ยงที่เกี่ยวข้องกับทางธุรกิจ

ช่องโหว่ที่ Ribeiro ค้นพบคือการ Bypass Authentication, Command Injection, การใช้ Default Password และการดาวน์โหลดไฟล์โดยไม่ได้รับอนุญาต

Ribeiro กล่าวว่าจากการทดสอบข้อบกพร่องด้านความปลอดภัยโดยใช้ช่องโหว่ที่เกี่ยวเนื่องกันสามรายการ ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถรันโค้ดจากระยะไกลในฐานะ Root บนระบบ นอกจากนี้เมื่อรวมช่องโหว่ที่หนึ่งและช่องโหว่ที่สี่ ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถดาวน์โหลดไฟล์จากระบบได้

Ribeiro ยังกล่าวว่าหลังจากที่เขาได้ทำการรายงานช่องโหว่ ‘Zero-days’ ต่อ IBM แต่เขาได้รับการปฏิเสธการรายงานช่องโหว่จาก IBM จึงทำให้เขาตัดสินใจเปิดเผยข้อมูลทั้งหมดต่อสาธารณะเพื่อให้บริษัทต่างๆ รับรู้ถึงปัญหาเพื่อที่จะสามารถป้องกันการใช้ประโยชน์จากช่องโหว่ดังกล่าว

สำหรับช่องโหว่ command injection และช่องโหว่การดาวน์โหลดไฟล์โดยไม่ได้รับอนุญาต รุ่นที่ได้รับผลกระทบคือ IBM Data Risk Manager (IDRM) เวอร์ชัน 2.0.1 และเวอร์ชันที่สูงกว่า

การเเก้ไขช่องโหว่
IBM ได้ทำการแนะนำให้ทำการอัปเกรด IBM Data Risk Manager (IDRM) เป็นเวอร์ชัน 2.0.4

ที่มา : bleepingcomputer