Microsoft dicht negen kritieke fouten op Patch Tuesday

De meest kritieke fout die nu gedicht is, is CVE-2022-21907, schrijft Threatpost. Dit is een remote code execution (RCE)-fout in de HTTP protocol stack, waarmee aanvallers op afstand eigen code op een systeem kunnen uitvoeren. Deze fout wordt als kritiek bestempeld omdat hij wormbaar is. Dat betekent dat hij zichzelf kan verspreiden door een netwerk, zonder dat een gebruiker hier eerst actie voor moet ondernemen. CVE-2022-21907 krijgt dan ook een CVSS-score van 9,8 op een schaal van 10.

Naast deze fout werden nog acht andere kritieke kwetsbaarheden gedicht, waaronder zes zero-days. Drie zero-days zijn RCE-kwetsbaarheden, namelijk CVE-2021-22947, CVE-2021-36976 en CVE-2022-21874. Daarnaast zijn een privilege-escalationfout in de Windows User Profile Service (CVE-2022-21919), een DoS-gat in de Windows Event Tracing Discretionary Access Control List (CVE-2022-21839) en een spoofingfout in Windows Certificate (CVE-2022-21836) gedicht. 

Meer RCE-fouten

De laatste twee kritieke fouten zijn ook RCE-fouten. De eerste, CVE-2022-21840, zit in Microsoft Office. Deze kwetsbaarheid is tijdens Patch Tuesday wel gedicht op Windows, maar voor Office 2019 for Mac en Microsoft Office LTSC for Mac 2021 zijn nog geen patches beschikbaar. 

De laatste kwetsbaarheid is CVE-2022-21846 en zit in Microsoft Exchange Service. Hoewel deze fout een CVSS-score van 9.0 op een schaal van 10 krijgt, moet een aanvaller wel wat moeite stoppen in het misbruiken van de fout. Een cybercrimineel moet namelijk op hetzelfde netwerk als het slachtoffer zitten om zijn aanval uit te voeren. 

Alle kwetsbaarheden die tijdens Patch Tuesday gedicht zijn, zijn te vinden in de Security Update Guide van Microsoft.