Microsoft retter Follina og 55 andre CVE'er

Af Eskil Sørensen, 15/06/22

Patch Tuesday håndterer 0-dagssårbarhed.

Juni måneds Patch Tuesday har med ført rettelser af 55 nye CVE-numre og opdatering af 0-dagssårbarheden Follina, der har været udnyttet af angribere i de sidste par uger.

Det skriver Helpnetsecurity og en række andre medier.

Follina med id’et CVE-2022-30190 og en CVSS-score 7,8 kom frem i slutningen af maj og vedrører en remote code execution-sårbarhed i Microsoft Windows Support Diagnostic Tool (MSDT). Installation af opdateringerne anbefales af Microsoft ’på det kraftigste’.

Udover Follina-sårbarheden har Microsoft rettet fejl i Windows- og Windows-komponenter, Office- og Office-komponenter, Microsoft Edge; Windows Hyper-V Server, .NET og Visual Studio, SharePoint Server, Windows Defender, Windows Powershell, Windows LDAP og andre løsninger.

Exploit-pris

Af de tre kritiske sårbarheder, der blev rettet, peger Helpnetsecurity særligt på en Windows Network File System (NFS) remote code execution, der kunne udløses over netværket med et uautoriseret, specielt udformet opkald til en Network File System (NFS)-tjeneste. Den har fået en høj score af Microsoft på 9,8.

Ifølge sårbarhedsdatabasen Vuldb.com opgøres den aktuelle ’exploit’-pris på den konkrete sårbarhed til at være mellem 5.000 og 25.000 dollar. Vuldb skriver, at exploit-prisen er baseret på overvågning af ’exploit markets’ og kontakt med sårbarhedsmæglere. Intervallet angiver den observerede eller beregnede udnyttelsespris, der ses på markedet. Det kan ses som en indikator for at forstå den indsats, der kræves for at gennemføre et angreb. Exploit af en 0-dagssårbarhed er vurderet i gennemsnit til at koste 10.000 dollar.