Alert GCSA-22005 - Microsoft Security Update - Gennaio 2022
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
alert ID: GCSA-22005
data: 12 gennaio 2022
titolo: Microsoft Security Update - Gennaio 2022
******************************************************************
:: Descrizione del problema
Microsoft ha rilasciato il security update mensile per gennaio 2022,
questa release risolve 97 vulnerabilita' (escludendo 29 vulnerabilita'
in Microsoft Edge), delle quali 9 sono classificate come "critiche".
Sei vulnerabilita' sono di tipo zero-day, ma al momento non risultano
in corso attacchi specifici, anche se per due di queste (CVE-2022-21919
e CVE-2022-21836) e' disponibile pubblicamente del codice di exploit.
Tra i bug critici il piu' grave e' il CVE-2022-21907, e' di tipo RCE e
riguarda lo stack del protocollo HTTP, ha un indice CVSS pari a 9,8
in quanto e' wormable, ovvero del malware potrebbe sfruttare questo
exploit per autopropagarsi in rete senza l'interazione dell'utente.
Maggiori dettagli sono disponibili alla sezione "Riferimenti".
:: Software / Tecnologie interessate
Windows and Windows Components
Extended Security Updates (ESU)
Microsoft Dynamics
Microsoft Office and Office Components
Exchange Server
Edge browser (Chromium-based)
SharePoint Server
.NET Framework
Windows Hyper-V
Windows Defender
Windows Remote Desktop Protocol (RDP)
:: Impatto
Acquisizione di privilegi piu' elevati (EoP)
Esecuzione remota di codice arbitrario (RCE)
Bypass delle funzionalita' di sicurezza (SFB)
Denial of Service (DoS)
Information Disclosure (ID)
Provide Misleading Information (spoofing)
:: Soluzioni
Per default l'installazione degli aggiornamenti
avviene in maniera automatica.
In Windows per aggiornare manualmente scegliere
Start > Impostazioni > Aggiornamento e Sicurezza > Windows Update
Verificare di aver installato la versione piu' recente del
Servicing Stack Updates
https://msrc.microsoft.com/update-guide/vulnerability/ADV990001
https://docs.microsoft.com/it-it/windows/deployment/update/servicing-stack-updates
Security Update Guide
https://msrc.microsoft.com/update-guide/deployments
Windows Update domande frequenti
https://support.microsoft.com/en-us/help/12373/windows-update-faq
Gli aggiornamenti sono disponibili anche tramite WSUS ed il
catalogo di Microsoft Update
https://www.catalog.update.microsoft.com/
Gli utenti che utilizzano ancora Windows 7, Windows Server 2008 o 2008 R2
devono acquistare l'Extended Security Update per continuare a ricevere gli aggiornamenti
https://support.microsoft.com/en-us/help/4522133/procedure-to-continue-receiving-security-updates
:: Riferimenti
Microsoft Security Updates - Release Notes
https://msrc.microsoft.com/update-guide/releaseNote/2022-Jan
https://msrc.microsoft.com/update-guide/
Release notes for Microsoft Edge Security Updates
https://docs.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security
Threatpost
https://threatpost.com/microsoft-wormable-critical-rce-bug-zero-day/177564/
Bleeping Computer
https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2022-patch-tuesday-fixes-6-zero-days-97-flaws/
https://www.bleepingcomputer.com/news/microsoft/windows-11-kb5009566-update-released-with-security-fixes/
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-critical-office-bug-delays-macos-security-updates/
https://www.bleepingcomputer.com/news/microsoft/microsoft-new-critical-windows-http-vulnerability-is-wormable/
ZDI
https://www.zerodayinitiative.com/blog/2022/1/11/the-january-2022-security-update-review
Krebs on Security
https://krebsonsecurity.com/2022/01/wormable-flaw-leads-january-2022-patch-tuesday/
Mitre CVE
I riferimenti CVE sono disponibili nell'advisory originale.
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCYd7l7gAKCRDBnEyTZRJg
QkhsAJ9fxj4IVbZC+TO+sMo562oJzIyjBACffRufdt9bNWvWbY08PkznDnNt+o4=
=N5P7
-----END PGP SIGNATURE-----