微軟2022年首個Patch Tuesday修補96個安全漏洞，當中有6個為零時差漏洞

2022年的開春，企業IT管理人員可能會忙碌一些了，因為微軟在今年1月的Patch Tuesday總計修補了96個安全漏洞，當中有9個被列為重大（Critical）漏洞，還有6個為零時差漏洞，不過，相關漏洞尚未遭到駭客開採。

9個重大漏洞分別是開源專案Curl的遠端程式攻擊漏洞CVE-2021-22947、Active Directory網域服務的權限擴張漏洞CVE-2022-21857、兩個DirectX繪圖核心的遠端程式攻擊漏洞CVE-2022-21912與CVE-2022-21898、HEVC Video Extensions遠端程式攻擊漏洞CVE-2022-21917、HTTP協定架構的遠端程式攻擊漏洞CVE-2022-21907、Exchange Server遠端程式攻擊漏洞CVE-2022-21846、Office遠端程式攻擊漏洞CVE-2022-21840，以及Virtual Machine IDE Drive權限擴張漏洞CVE-2022-21833。

至於6個零時差漏洞中，除了CVE-2021-22947 與上述重疊之外，其它5個分別是Libarchive遠端程式攻擊漏洞CVE-2021-36976、Windows User Profile Service權限擴張漏洞CVE-2022-21919、Windows Certificate欺騙漏洞CVE-2022-21836、Windows Event Tracing Discretionary Access Control List服務阻斷漏洞CVE-2022-21839，以及Windows Security Center API遠端程式攻擊漏洞CVE-2022-21874 。

其中，涉及Curl與Libarchive的安全漏洞先前就已被各自的維護者修補，只是微軟本周才於Windows中修補它們。

Zero Day Initiative（ZDI）特別點名了4個重要漏洞，包括CVE-2022-21907、CVE-2022-21846、CVE-2022-21840 與CVE-2022-21857 。駭客只要傳送一個特製的封包到一個利用http.sys的系統進行處理，就能開採CVE-2022-21907，取得系統的執行權限，完全不需與使用者互動或事先取得特權，並可演變成蠕蟲漏洞。且除了伺服器之外，Windows客戶端也都能執行http.sys，代表所有的版本都受到該漏洞的影響。

微軟與ZDI都將CVE-2022-21907列為必須優先修補的漏洞。

微軟在本月修補了3個Exchange Server漏洞，雖然它們的CVSS風險評分都高達9，但只有CVE-2022-21846被列為重大等級，它很可能被開採，並讓駭客取得Exchange Server的控制權，但前提是駭客必須與目標對象共享實體網路，例如藍牙、本地端的IP子網路或其它受限的管理網域等。

此外，大多數的Office漏洞都只被列為重大（Important）等級，因為相關漏洞多半需要與使用者互動才能開採，而且會跳出警告視窗，然而，CVE-2022-21840漏洞卻在使用者開啟特製的檔案時沒有任何的警告。

ZDI提醒，此次微軟也釋出其它更新來修補CVE-2022-21840，應記得一併部署，而Office 2019 for Mac及Microsoft Office LTSC for Mac 2021等版本的修補程式則尚未出爐。