Microsoft ने 96 सुरक्षा पैच के साथ 2022 की शुरुआत की

 

माइक्रोसॉफ्ट ने आज 2022 का अपना पहला पैच मंगलवार रोलआउट जारी किया, जो 96 सीवीई के लिए सुधार लाया। कमजोरियों में से नौ को क्रिटिकल कहा जाता है और छह को सार्वजनिक रूप से जाना जाता है, हालांकि कोई भी सक्रिय हमले के तहत सूचीबद्ध नहीं है।

इस महीने की रिलीज में प्रभावित उत्पादों में माइक्रोसॉफ्ट विंडोज, एज ब्राउज़र (क्रोमियम-आधारित), एक्सचेंज सर्वर, माइक्रोसॉफ्ट ऑफिस, माइक्रोसॉफ्ट डायनेमिक्स, .NET फ्रेमवर्क, ओपन-सोर्स सॉफ्टवेयर, विंडोज डिफेंडर, विंडोज हाइपर-वी और रिमोट डेस्कटॉप प्रोटोकॉल शामिल हैं।

यह माइक्रोसॉफ्ट के साल के पहले पैच मंगलवार के लिए एक “असामान्य रूप से बड़ा” रोलआउट है, ट्रेंड माइक्रो के जीरो-डे इनिशिएटिव के डस्टिन चाइल्ड्स ने एक ब्लॉग भेजा आज के पटलों पर। “पिछले कुछ वर्षों में, जनवरी में जारी किए गए पैच की औसत संख्या इस मात्रा से लगभग आधी है,” उन्होंने कहा। यह 2021 के अंत में हुई छोटी अपडेट रिलीज़ से भी एक उल्लेखनीय बदलाव है।

आज की रिलीज में प्राथमिकता देने और ध्यान देने योग्य कुछ कमजोरियां हैं। इनमें से एक है सीवीई-2022-21907, एक HTTP प्रोटोकॉल स्टैक रिमोट कोड निष्पादन (RCE) दोष जिसका एक हमलावर पैकेट को संसाधित करने के लिए HTTP प्रोटोकॉल स्टैक (http.sys) का उपयोग करके लक्ष्य सर्वर पर विशेष रूप से तैयार किए गए पैकेट भेजकर शोषण कर सकता है। Microsoft का कहना है कि भेद्यता चिंताजनक है।

“सीवीई HTTP ट्रेलर समर्थन सुविधा को लक्षित करता है, जो एक प्रेषक को विशेष रूप से तैयार किए गए संदेश प्रदान करके मेटाडेटा की आपूर्ति करने के लिए एक संदेश में अतिरिक्त फ़ील्ड शामिल करने की अनुमति देता है जो रिमोट कोड निष्पादन का कारण बन सकता है, ” विरसेक के प्रमुख वास्तुकार डैनी किम कहते हैं। एक हमले के लिए कम जटिलता, कोई विशेषाधिकार नहीं, और काम करने के लिए कोई उपयोगकर्ता सहभागिता की आवश्यकता नहीं होती है। उपयोगकर्ताओं को जल्दी से पैच करने की सलाह दी जाती है।

माइक्रोसॉफ्ट एक्सचेंज सर्वर में पैच किए गए तीन रिमोट कोड निष्पादन कमजोरियां भी महत्वपूर्ण हैं: सीवीई-2022-21846, जिसे गंभीर माना जाता है, और सीवीई-2022-21969 तथा सीवीई-2022-21855, दोनों को महत्वपूर्ण के रूप में वर्गीकृत किया गया है। सभी तीन कमजोरियों के लिए कम जटिलता, कोई विशेषाधिकार नहीं, और शोषण करने के लिए कोई उपयोगकर्ता सहभागिता की आवश्यकता नहीं है। Microsoft उन सभी को “अधिक संभावित शोषण” के रूप में वर्गीकृत करता है।

एनएसए रिपोर्ट वन
इन खामियों में से एक (CVE-2022-21846) का खुलासा राष्ट्रीय सुरक्षा एजेंसी द्वारा Microsoft को किया गया था। हालांकि इसका उच्च सीवीएसएस स्कोर 9.0 है, माइक्रोसॉफ्ट ने नोट किया कि इस मुद्दे में “आसन्न” हमला वेक्टर है, जिसका अर्थ है कि इसका इंटरनेट पर शोषण नहीं किया जा सकता है, बल्कि इसके बजाय लक्ष्य से जुड़ी कुछ विशिष्ट चीजों की आवश्यकता होती है, जैसे समान साझा भौतिक नेटवर्क या तार्किक नेटवर्क . इसका मतलब है कि इसे हमलावर के लिए अधिक प्रयास की आवश्यकता होगी, प्रॉक्सीलॉगन या प्रॉक्सीशेल बग के विपरीत।

करीब से देखने लायक एक महत्वपूर्ण भेद्यता है सीवीई-2022-21840, माइक्रोसॉफ्ट ऑफिस में एक गंभीर आरसीई दोष जिसके लिए कम जटिलता और बिना किसी विशेषाधिकार की आवश्यकता होती है। पूर्वावलोकन फलक यहाँ एक हमला वेक्टर नहीं है, Microsoft नोट करता है, लेकिन एक शोषण के लिए उपयोगकर्ता सहभागिता की आवश्यकता होती है। एक ईमेल हमले के परिदृश्य में, एक विरोधी पीड़ित को विशेष रूप से तैयार की गई फ़ाइल भेज सकता है और उन्हें इसे खोलने के लिए मना सकता है। वेब-आधारित परिदृश्य में, हमलावर एक वेबसाइट को होस्ट कर सकता है (या एक समझौता वेबसाइट का उपयोग कर सकता है जो उपयोगकर्ता द्वारा प्रदत्त सामग्री को स्वीकार या होस्ट करता है) जिसमें बग का फायदा उठाने के लिए विशेष रूप से तैयार की गई फ़ाइल होती है।

मैक के लिए ऑफिस 2019 और मैक 2021 के लिए माइक्रोसॉफ्ट ऑफिस एलटीएससी चलाने वाले संगठनों को दुर्भाग्य से अपडेट के लिए इंतजार करना होगा, क्योंकि इनके लिए पैच अभी तक उपलब्ध नहीं हैं। Microsoft का कहना है कि ग्राहकों को उपलब्ध कराए जाने पर CVE संशोधन के माध्यम से सूचित किया जाएगा।

आज पैच किए गए छह सार्वजनिक रूप से ज्ञात मुद्दों में एक ओपन सोर्स कर्ल आरसीई भेद्यता शामिल है (सीवीई-2021-22947) और लिबरचिव आरसीई भेद्यता (सीवीई-2021-36976), जिनमें से दोनों का CVE पहले किसी तीसरे पक्ष द्वारा जारी किया गया था और अब उन्हें Microsoft उत्पादों में शामिल किया जा रहा है।

इसके अलावा सार्वजनिक रूप से ज्ञात एक Windows प्रमाणपत्र स्पूफिंग भेद्यता है (सीवीई-2022-21836), विंडोज सुरक्षा केंद्र एपीआई आरसीई भेद्यता (सीवीई-2022-21874), विंडोज उपयोगकर्ता प्रोफ़ाइल सेवा विशेषाधिकार दोष का उन्नयन (सीवीई-2022-21919), और एक Windows ईवेंट अनुरेखण विवेकाधीन अभिगम नियंत्रण सूची सेवा-से-अस्वीकार्य भेद्यता (सीवीई-2022-21839)