Microsoft heeft dinsdag fixes uitgerold voor maar liefst 74 beveiligingsproblemenwaaronder een voor een zero-day bug die actief wordt uitgebuit in het wild.
Van de 74 problemen zijn er zeven beoordeeld als Kritiek, 66 als Belangrijk en één met een lage ernst. Twee van de gebreken worden op het moment van uitgave als algemeen bekend vermeld.
Deze omvatten onder meer 24 remote code-uitvoering (RCE), 21 misbruik van bevoegdheden, 17 vrijgave van informatie en zes denial-of-service-kwetsbaarheden. De updates zijn een aanvulling op: 36 gebreken gepatcht in de Chromium-gebaseerde Microsoft Edge-browser op 28 april 2022.
De belangrijkste van de opgeloste bugs is: CVE-2022-26925 (CVSS-score: 8.1), een spoofing-kwetsbaarheid die de Windows Local Security Authority treft (LSA), die Microsoft beschrijft als een “beschermd subsysteem dat gebruikers verifieert en inlogt op het lokale systeem.”
“Een niet-geverifieerde aanvaller kan een methode aanroepen op de LSARPC-interface en de domeincontroller dwingen om zich bij de aanvaller te verifiëren met behulp van NTLM“zei het bedrijf. “Deze beveiligingsupdate detecteert anonieme verbindingspogingen in LSARPC en staat deze niet toe.”
Het is ook vermeldenswaard dat de CVSS-ernstclassificatie van de fout zou worden verhoogd tot 9,8 als deze zou worden gecombineerd met NTLM-relay-aanvallen zoals PetitPotam, waardoor het een kritiek probleem wordt.
“Deze exploit wordt actief in het wild uitgebuit en stelt een aanvaller in staat zich te authenticeren als goedgekeurde gebruikers als onderdeel van een NTLM-relay-aanval – waardoor bedreigingsactoren toegang krijgen tot de hashes van authenticatieprotocollen”, Kev Breen, directeur van onderzoek naar cyberdreigingen bij Immersive Labs , zei.
De twee andere algemeen bekende kwetsbaarheden zijn als volgt:
- CVE-2022-29972 (CVSS-score: 8,2) – Insight-software: CVE-2022-29972 Magnitude Simba Amazon Redshift ODBC-stuurprogramma (ook bekend als SynLapse)
- CVE-2022-22713 (CVSS-score: 5,6) – Windows Hyper-V Denial-of-Service-beveiligingslek
Microsoft, dat CVE-2022-29972 op 15 april heeft hersteld, heeft het op de Exploitability Index gemarkeerd als “Exploitation More Likely” (exploitatie waarschijnlijker), waardoor het noodzakelijk is dat getroffen gebruikers de updates zo snel mogelijk toepassen.
Ook gepatcht door Redmond zijn verschillende RCE-bugs in Windows Network File System (CVE-2022-26937), Windows-LDAP (CVE-2022-22012, CVE-2022-29130), Windows-graphics (CVE-2022-26927), Windows-kernel (CVE-2022-29133), Runtime procedureoproep op afstand (CVE-2022-22019) en Visual Studio-code (CVE-2022-30129).
Cyber-Kunlun, een in Peking gevestigd cyberbeveiligingsbedrijf, is gecrediteerd met rapportage 30 van de 74 gebrekentellen CVE-2022-26937, CVE-2022-22012 en CVE-2022-29130.
Bovendien volgde CVE-2022-22019 een onvolledige patch voor drie RCE-problemen in de Remote Procedure Call (RPC) runtime-bibliotheek vorige maand – CVE-2022-26809, CVE-2022-24492 en CVE-2022-24528 – die waren behandeld door Microsoft in april 2022.
Door misbruik te maken van de fout kan een externe, niet-geverifieerde aanvaller code uitvoeren op de kwetsbare machine met de privileges van de RPC-service, Akamai zei.
De update van Patch Tuesday is ook opmerkelijk voor het oplossen van twee escalatie van bevoegdheden (CVE-2022-29104 en CVE-2022-29132) en twee openbaarmaking van informatie (CVE-2022-29114 en CVE-2022-29140) kwetsbaarheden in de Print Spooler-component, die lange tijd een aantrekkelijk doelwit was voor aanvallers.
Softwarepatches van andere leveranciers
Naast Microsoft zijn er sinds het begin van de maand ook beveiligingsupdates uitgebracht door andere leveranciers om verschillende kwetsbaarheden te verhelpen, waaronder:
- Adobe
- AMD
- Android
- Cisco
- Citrix
- Dell
- F5
- Google Chrome
- HP
- Intel
- Linux-distributies Debian, Oracle Linux, rode Hoed, SUSEen Ubuntu
- MediaTek
- Mozilla Firefox, Firefox ESR en Thunderbird
- Qualcomm
- SAP
- Schneider Electricen
- Siemens
