Хакер #305. Многошаговые SQL-инъекции
Компания Microsoft представила первые обновления в 2022 году, устранив в своих продуктах 97 уязвимостей (плюс 29 уязвимостей в Microsoft Edge), включая шесть уязвимостей нулевого дня. Эксперты предупредили, что один из багов, затрагивающий дектопные и серверные версии Windows (включая Windows 11 и Windows Server 2022), обладает потенциалом червя.
В общей сложности январский «вторник обновлений» принес патчи для девяти критических и 88 важных уязвимостей, включая проблемы повышения привилегий, отказа в обслуживании, обхода защитных механизмов и так далее.
Примечательно, что ни одна из 0-day уязвимостей этого месяца (CVE-2021-22947, CVE-2021-36976, CVE-2022-21919, CVE-2022-21836, CVE-2022-21839 и CVE-2022-21874) не использовалась в реальных атаках.
При этом одной из наиболее важных проблем января определенно можно назвать баг CVE-2022-21907, обладающий потенциалом червя. Уязвимость была обнаружена в HTTP Protocol Stack (HTTP.sys), используемом в качестве лиснера для обработки HTTP-запросов веб-сервером Windows Internet Information Services (IIS). Эксплуатация этого бага требует отправки вредоносных пакетов на целевые серверы Windows, которые используют уязвимый стек для обработки пакетов.
Microsoft рекомендует уделить первоочередное внимание исправлению этой проблемы, так как она позволяет неаутентифицированным злоумышленникам удаленно выполнять произвольный код и при этом не требует взаимодействия с пользователем.