die van Microsoft Update dinsdag patch voor de maand maart is officieel beschikbaar gemaakt met 71 reparaties verspreid over zijn softwareproducten, zoals Windows, Office, Exchange en Defender.
Van de in totaal 71 pleisters hebben er drie de classificatie ‘Kritiek’ en 68 de prioriteit ‘Belangrijk’. Hoewel geen van de kwetsbaarheden wordt vermeld als actief misbruikt, zijn er drie publiekelijk bekend op het moment van release.
Het is de moeite waard erop te wijzen dat Microsoft afzonderlijk 21 fouten aangepakt in de Chromium-gebaseerde Microsoft Edge-browser eerder deze maand.
Alle drie de kritieke kwetsbaarheden die deze maand zijn verholpen, zijn fouten bij het uitvoeren van externe code die van invloed zijn op HEVC-video-extensies (CVE-2022-22006), Microsoft Exchange-server (CVE-2022-23277) en VP9-video-extensies (CVE-2022-24501).
De kwetsbaarheid van Microsoft Exchange Server, die werd gemeld door onderzoeker Markus Wulftange, is ook opmerkelijk vanwege het feit dat de aanvaller moet worden geverifieerd om de server te kunnen misbruiken.
“De aanvaller voor dit beveiligingslek kan zich richten op de serveraccounts door willekeurige of externe code uit te voeren”, aldus de Windows-maker. “Als geverifieerde gebruiker kan de aanvaller proberen om via een netwerkoproep kwaadaardige code te activeren in de context van het account van de server.”
“Kritieke kwetsbaarheid CVE-2022-23277 zou ook een punt van zorg moeten zijn”, zegt Kevin Breen, directeur van onderzoek naar cyberdreigingen bij Immersive Labs. “Hoewel authenticatie vereist is, kan deze kwetsbaarheid die on-prem Exchange-servers aantast, mogelijk worden gebruikt tijdens zijwaartse verplaatsing naar een deel van de omgeving dat de mogelijkheid biedt voor zakelijke e-mailcompromis of gegevensdiefstal uit e-mail.”
De drie door Microsoft opgeloste zero-day-bugs zijn als volgt:
- CVE-2022-24512 (CVSS-score: 6,3) – Kwetsbaarheid van uitvoering van externe code in .NET en Visual Studio
- CVE-2022-21990 (CVSS-score: 8,8) – Beveiligingslek met betrekking tot het uitvoeren van externe code van externe desktopclient
- CVE-2022-24459 (CVSS-score: 7,8) – Beveiligingslek met betrekking tot misbruik van bevoegdheden in Windows Fax- en scanservice
Microsoft bestempelde CVE-2022-21990 ook als “Exploitation More Likely” vanwege de openbare beschikbaarheid van een proof-of-concept (PoC) exploit, waardoor het van cruciaal belang is dat de updates zo snel mogelijk worden toegepast om mogelijke aanvallen te voorkomen.
Andere belangrijke gebreken zijn een aantal fouten bij het uitvoeren van externe code in Windows SMBv3 Client/Server, Microsoft Office en Paint 3D, evenals fouten bij de escalatie van bevoegdheden in Xbox Live Auth Manager, Microsoft Defender voor IoT en Azure Site Recovery.
In totaal sluiten de patches 29 kwetsbaarheden voor het uitvoeren van externe code, 25 kwetsbaarheden voor misbruik van bevoegdheden, zes kwetsbaarheden voor het vrijgeven van informatie, vier denial-of-service-kwetsbaarheden, drie bypass-kwetsbaarheden voor beveiligingsfuncties, drie spoofing-kwetsbaarheden en één kwetsbaarheid voor sabotage.
Softwarepatches van andere leveranciers
Naast Microsoft zijn er ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder:
- Adobe
- Android
- Cisco
- Citrix
- HP
- Intel
- Juniper-netwerken
- Linux-distributies Oracle Linux, rode Hoeden SUSE
- Mozilla Firefox en Firefox ESR
- SAP
- Schneider Electricen
- Siemens
