Microsoft en andere grote softwarebedrijven brengen patchupdates van februari 2022 uit March 2023

Microsoft heeft dinsdag zijn maandelijkse beveiligingsupdates uitgerold met fixes voor 51 kwetsbaarheden in het softwareaanbod dat bestaat uit Windows, Office, Teams, Azure Data Explorer, Visual Studio Code en andere componenten zoals Kernel en Win32k.

Van de 51 gesloten defecten hebben er 50 de classificatie Belangrijk en één de classificatie Matig, waardoor het een van de zeldzame Patch Tuesday-updates is zonder oplossingen voor kritieke kwetsbaarheden. Dit is ook in aanvulling op 19 meer gebreken het bedrijf aangesproken in zijn op Chromium gebaseerde Edge-browser.

Geen van de beveiligingsproblemen wordt vermeld als actief misbruik, terwijl van de fouten — CVE-2022-21989 (CVSS-score: 7,8) — is op het moment van publicatie geclassificeerd als een openbaar gemaakte zero-day. Het probleem betreft een bug in de escalatie van bevoegdheden in Windows Kernel, waarbij Microsoft waarschuwt voor mogelijke aanvallen die misbruik maken van de tekortkoming.

“Succesvol misbruik van dit beveiligingslek vereist dat een aanvaller aanvullende acties onderneemt voorafgaand aan misbruik om de doelomgeving voor te bereiden”, merkte het bedrijf op in zijn advies. “Een succesvolle aanval kan worden uitgevoerd vanuit een AppContainer met weinig bevoegdheden. De aanvaller kan zijn bevoegdheden verhogen en code uitvoeren of toegang krijgen tot bronnen op een hoger integriteitsniveau dan dat van de AppContainer-uitvoeringsomgeving.”

Ook zijn een aantal kwetsbaarheden voor het uitvoeren van externe code opgelost die van invloed zijn op Windows DNS Server (CVE-2022-21984CVSS-score: 8,8), SharePoint Server (CVE-2022-22005CVSS-score: 8,8), Windows Hyper-V (CVE-2022-21995CVSS-score: 5,3) en HEVC-video-extensies (CVE-2022-21844, CVE-2022-21926en CVE-2022-21927CVSS-scores: 7,8).

De beveiligingsupdate herstelt ook een beveiligingslek met betrekking tot spoofing van Azure Data Explorer (CVE-2022-23256CVSS-score: 8.1), twee beveiligingslekken die elk van invloed zijn op Outlook voor Mac (CVE-2022-23280CVSS-score: 5,3) en OneDrive voor Android (CVE-2022-23255CVSS-score: 5,9) en twee denial-of-service-kwetsbaarheden in .NET (CVE-2022-21986CVSS-score: 7,5) en Teams (CVE-2022-21965CVSS-score: 7,5).

Microsoft zei ook dat het meerdere misbruik van privilege-fouten heeft verholpen – vier in de Print Spooler dienst en één in het Win32k-stuurprogramma (CVE-2022-21996CVSS-score: 7,8), waarvan de laatste is bestempeld als “Uitbuiting waarschijnlijker” in het licht van een vergelijkbare kwetsbaarheid in hetzelfde onderdeel dat vorige maand werd gepatcht (CVE-2022-21882) en sindsdien actief wordt aangevallen.

De updates komen aan toen de techgigant eind vorige maand een kwetsbaarheid uit 2013 opnieuw publiceerde – een probleem met de handtekeningvalidatie dat WinVerifyTrust treft (CVE-2013-3900) – opmerkend dat de fix “beschikbaar is als een opt-in-functie via reg-sleutelinstelling en beschikbaar is op ondersteunde edities van Windows die sinds 10 december 2013 zijn uitgebracht.”

De verhuizing is mogelijk gestimuleerd als reactie op een lopende ZLoader-malwarecampagne die, zoals ontdekt door Check Point Research begin januari, werd ontdekt door gebruik te maken van de fout om het verificatiemechanisme voor bestandshandtekeningen te omzeilen en malware te verwijderen die in staat is gebruikersgegevens en andere gevoelige informatie over te hevelen. .