Beheer

Security
Update

Microsoft dicht negen kritieke fouten op Patch Tuesday

Update dicht in totaal 97 kwetsbaarheden. 

12 januari 2022

Update dicht in totaal 97 kwetsbaarheden. 

Op de allereerste Patch Tuesday van 2022 dichtte Microsoft maar liefst 97 kwetsbaarheden. Negen van die kwetsbarheden zijn als kritiek aangemerkt. Daaronder valt onder meer een wormbare RCE-fout, zo waarschuwt het bedrijf.

De meest kritieke fout die nu gedicht is, is CVE-2022-21907, schrijft Threatpost. Dit is een remote code execution (RCE)-fout in de HTTP protocol stack, waarmee aanvallers op afstand eigen code op een systeem kunnen uitvoeren. Deze fout wordt als kritiek bestempeld omdat hij wormbaar is. Dat betekent dat hij zichzelf kan verspreiden door een netwerk, zonder dat een gebruiker hier eerst actie voor moet ondernemen. CVE-2022-21907 krijgt dan ook een CVSS-score van 9,8 op een schaal van 10.

Naast deze fout werden nog acht andere kritieke kwetsbaarheden gedicht, waaronder zes zero-days. Drie zero-days zijn RCE-kwetsbaarheden, namelijk CVE-2021-22947, CVE-2021-36976 en CVE-2022-21874. Daarnaast zijn een privilege-escalationfout in de Windows User Profile Service (CVE-2022-21919), een DoS-gat in de Windows Event Tracing Discretionary Access Control List (CVE-2022-21839) en een spoofingfout in Windows Certificate (CVE-2022-21836) gedicht. 

Meer RCE-fouten

De laatste twee kritieke fouten zijn ook RCE-fouten. De eerste, CVE-2022-21840, zit in Microsoft Office. Deze kwetsbaarheid is tijdens Patch Tuesday wel gedicht op Windows, maar voor Office 2019 for Mac en Microsoft Office LTSC for Mac 2021 zijn nog geen patches beschikbaar. 

De laatste kwetsbaarheid is CVE-2022-21846 en zit in Microsoft Exchange Service. Hoewel deze fout een CVSS-score van 9.0 op een schaal van 10 krijgt, moet een aanvaller wel wat moeite stoppen in het misbruiken van de fout. Een cybercrimineel moet namelijk op hetzelfde netwerk als het slachtoffer zitten om zijn aanval uit te voeren. 

Alle kwetsbaarheden die tijdens Patch Tuesday gedicht zijn, zijn te vinden in de Security Update Guide van Microsoft

1
Reacties
Don van Riet (oud KPN strateeg) 14 januari 2022 13:53

Vreemd genoeg crashte mijn PC enige minuten na deze grotere update compleet, iets dat me over de vele jaren Windowsgebruik zelden of nooit meer overkwam (eigenlijk vanaf Windows 7 al helemaal niet meer) Blue screen of death ofwel BSD was een vage herinnering geworden. Deze crash was overigens met een compleet uitgeschakeld systeem zonder black screen van Windows 10. Opletten de komende dagen of het terugkomt....

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.