Microsoft heeft tijdens Patch Tuesday een belangrijke kwetsbaarheid in Microsoft Exchange Server opgelost. Daarnaast zijn nog eens 70 andere problemen aangepakt.

In Exchange Server is de kwetsbaarheid CVE-2022-23277 opgelost. De kwetsbaarheid voor Exchange-servers in on-premises datacenters maakte het mogelijk dat hackers via een networkcall naar een server account op afstand kwaadaardige code konden activeren. Uiteindelijk kunnen de hackers hierdoor via een zijwaartse beweging zakelijke e-mail compromitteren of data stelen. De patch geldt voor de Microsoft Exchange Server-versies 2013, 2016 en 2019.

70 andere patches

Naast de patch voor Microsoft Exchange bracht de techgigant afgelopen dinsdag ook 70 andere patches voor zijn oplossingen uit. Hiervan waren er maar liefst 41 bestemd voor Windows. De overige patches werden uitgebracht voor Visual Studio, de Xbox app for Windows, Intune, Microsoft Defender, Express Logic, Azure Site Recovery en de Microsoft Edge-browser.

Zo werd de kwetsbaarheid CVE-2022-24508 in Windows SMB v3 aangepakt. Dit is een zeer gevaarlijke kwetsbaarheid, aangezien de kans dat deze door hackers wordt uitgebuit zeer groot is. Microsoft adviseert dat bedrijven hun SMB-verkeer moeten beperken in zijwaartse en externe verbindingen. Dit geeft een diepere bescherming, maar heeft wel gevolgen voor de functionaliteit van andere tools die de verbindingen gebruiken.

Verder werd CVE-2022-24501 opgelost. Dit is een kwetsbaarheid in de VP9 Video Extensions. Deze kan worden uitgebuit wanneer hackers hun slachtoffers verleiden tot het openen van een kwaadaardig videobestand. Verder werd CVE-2022-22006 ‘geplakt’. Dit is een bug in HEVC Video Extensions. De bug kan ook via een aangepast bestand worden uitgebuit.