Компания Microsoft начала год с ударной работы над уязвимостями. Она выпустила не только первый в 2022 году вторничный пакет обновлений, закрывающий в общей сложности 96 уязвимостей, но и пачку исправлений для браузера Microsoft Edge (в основном связанных с движком Chromium). Так что всего с начала года компания закрыла более 120 уязвимостей в целом списке своих продуктов. Это явный повод как можно скорее обновить операционную систему и некоторые приложения Microsoft.
Наиболее критические уязвимости
Девять из закрытых уязвимостей имеют критический статус по шкале CVSS 3.1. Из них две связаны с возможностью повышения доступа к ресурсам системы (уязвимости эскалации привилегий): CVE-2022-21833 в Virtual Machine IDE Drive и CVE-2022-21857 в Active Directory Domain Services. Эксплуатация остальных семи может дать атакующему возможность удаленного выполнения кода:
- CVE-2022-21917 в HEVC Video Extensions;
- CVE-2022-21912 и CVE-2022-21898 в графическом ядре DirectX;
- CVE-2022-21846 в Microsoft Exchange Server;
- CVE-2022-21840 в Microsoft Office;
- CVE-2021-22947 в Open Source Curl;
- CVE-2022-21907 в стеке протоколов HTTP.
Из всего этого богатства самой неприятной уязвимостью, по всей видимости, является последняя. Баг в стеке протоколов HTTP теоретически позволяет злоумышленникам не просто заставить машину исполнить произвольный код, но и распространить атаку по локальной сети (по терминологии Microsoft, уязвимость относится к категории wormable, то есть может быть использована для создания червя). Данная уязвимость актуальна для операционных систем Windows 10, Windows 11, Windows Server 2022 и Windows Server 2019. Правда, по словам Microsoft, в Windows Server 2019 и Windows 10 версии 1809 она становится опасной только если пользователь включает HTTP Trailer Support при помощи ключа EnableTrailerSupport в реестре.
Также эксперты выражают беспокойство из-за наличия очередной уязвимости в Microsoft Exchange Server (к слову, она в общем списке закрытых багов не единственная, CVE-2022-21846 просто самая опасная из найденных). И экспертов можно понять — никто не хочет повторения прошлогодних событий с массовой эксплуатацией уязвимостей в Exchange.
Уязвимости с опубликованными доказательствами осуществления атак
Некоторые из закрытых уязвимостей уже были известны общественности, а к некоторым уже успели соорудить доказательства осуществления атак:
- CVE-2022-21836 — уязвимость, позволяющая подменить сертификаты Windows;
- CVE-2022-21839 — уязвимость, позволяющая организовать DoS-атаку на Event Tracing Discretionary Access Control List;
- CVE-2022-21919 — уязвимость эскалации привилегий в пользовательских профилях Windows.
Реальных атак с применением этих уязвимостей пока не наблюдалось, однако поскольку доказательства их осуществления опубликованы, они могут начаться в любой момент.
Как оставаться в безопасности
Во-первых, нужно незамедлительно обновить систему (да и прочие программы от Microsoft), да и в целом стараться не затягивать с установкой заплаток для критически важного ПО.
Во-вторых, любой компьютер или сервер, имеющий выход в Интернет, должен быть снабжен защитным решением, способным не только предотвращать эксплуатацию известных уязвимостей, но и выявлять атаки с применением неизвестных эксплойтов.