На этой неделе Microsoft выпустила первый в 2022 году пакет исправлений в рамках программы Patch Tuesday. Он устраняет 97 уязвимостей в разных продуктах софтверного гиганта, включая 9 критических и 6 уязвимостей нулевого дня. В частности, были исправлены уязвимости, позволяющие злоумышленникам удаленно выполнять код, повышать свои привилегии, осуществлять спуфинг и проводить XSS-атаки. Патч содержит исправления для Windows, Edge, Exchange Server, Office и других программных решений.

В частности были исправлены следующие уязвимости:

  • уязвимость Windows HTTP Protocol Stack, которая позволяет осуществить удалённое выполнение кода (CVE-2022-21907);
  • уязвимости удалённого выполнения кода в Microsoft Exchange Server(CVE-2022-21846, CVE-2022-21969, CVE-2022-21855): для эксплуатации уязвимостей не требуется наличия особых привилегий и взаимодействия с пользователем;
  • уязвимости удаленного выполнения кода в Remote Desktop Protocol/Client (CVE-2022-21893, CVE-2022-21850);
  • использование памяти после высвобождения в Libarchive, что может привести к удаленному выполнению кода (CVE-2021-36976);
  • удаленное выполнение кода в Windows Security Center API (CVE-2022-21874);
  • повышение привилегий в Windows User Profile Service (CVE-2022-21919);
  • отказ в обслуживании в Windows Event Tracing Discretionary Access Control List (CVE-2022-21839);
  • спуфинг сертификата Windows (CVE-2022-21836).

Уязвимость Windows HTTP Protocol Stack получила 9,8 балла по шкале CVSS. Проблема появилась в Windows 10 версии 1809 и Windows Server 2019, но в них эксплуатация уязвимости с настройками по умолчанию невозможна — чтобы воспользоваться ею, нужно специально изменить один из параметров работы с протоколом. В версии Windows 10 (1909) уязвимый код в принципе отсутствует, а вот в более поздних релизах, включая Windows 10 (20H2), Windows 11 и Windows Server 2022, он есть. Microsoft классифицирует уязвимость как Wormable, иными словами взломанные системы можно использовать для дальнейшего развития атаки.

Ошибка в первую очередь затрагивает серверы под управлением Windows, но библиотека для работы по протоколу HTTP может быть задействована и на конечных устройствах. Для ранних сборок Windows 10 компания Microsoft рекомендует проверить наличие ключа EnableTrailerSupport и удалить его из раздела реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters.

24 уязвимости были исправлены в одном только Microsoft Edge на базе Chromium. Согласно Zero Day Initiative (ZDI), такое количество нехарактерно для января – в предыдущие годы число уязвимостей в браузере было вдвое меньше.

Также было выпущено исправление для критической уязвимости удалённого выполнения кода в Microsoft Office (CVE-2022-21840). Для её эксплуатации не требуются особые привилегии, но злоумышленнику потребуется взаимодействовать с жертвой, чтобы попытаться убедить её запустить на своём компьютере особым образом сконфигурированный вредоносный файл.