Microsoft hat im Januar 97 Schwachstellen gestopft

Meldung von doelf, Mittwoch der 12.01.2022, 00:58:14 Uhr

logo

Microsoft hat im Januar 97 Sicherheitslücken in Windows, Edge (Chromium-basiert), Office, Dynamics, dem Exchange Server, dem .NET-Framework, Teams sowie Open-Source-Software geschlossen. Neun Sicherheitslücken sind kritischer Natur, alle übrigen bergen eine hohe Gefahr. 0-Day-Lücken, also Fehler, die bereits im Vorfeld ausgenutzt wurden, gibt es diesmal keine.

Die Liste der verwundbaren Windows-Komponenten ist zum Jahresauftakt sehr, sehr lang: Active Directory, AppContracts-API-Server, Anwendungsmodell, Arbeitsstationsdienst-Remote-Protokoll, BackupKey-Remoteprotokoll, Benutzeroberfläche für Tablets, Benutzerprofildienst, Benutzermodustreiber-Framework, Bereinigungsmanager, Bind-Filtertreiber, Clusterport-Treiber, Datenengine für den Aufgabenfluss, Defender, Devices Human Interface, Diagnose-Hub, DirectX, DWM-Kernbibliothek, Ereignisablaufverfolgung, Geolocationdienst, Graphics-Komponente, HTTP-Protokollstack, Hyper-V-Rolle, IDE-Laufwerk für virtuelle Computer, IKE-Erweiterung, Immersive Server der Benutzeroberfläche, Installer, Kachel-Datenrepository, Kerberos, Kernel, Kontensteuerung, Kryptografiedienste, Libarchive, lokale Sicherheitsautorität samt des dazugehörigen Subsystemdienst, Medienbibliothek, Modern Execution Server, Plattformdienst für verbundene Geräte, Pushbenachrichtungen, RDP, Remotezugriffs-Verbindungs-Manager, Remotedesktop, Remoteprozeduraufruf-Runtime, Robustes Dateisystem (ReFS), Sicherer Start, Security Center, StateRepository-API, Storage, Speicherplatz-Controller, Systemstartprogramm, Treiber des gemeinsamen Protokolldateisystems, UEFI, Win32K, Zertifikate, Zwischenablage-Benutzerdienst. Seitens Office wurde Sicherheitslücken in Excel, SharePoint und Word abgesichert.

Kommen wir nun zu den neun kritischen Fehlern, die sich überwiegend zum Einschleusen von Schadcode eignen:

  • CVE-2021-22947: Es handelt sich um eine kritische Sicherheitsanfälligkeit in der Open-Source-Bibliothek curl, welche sich zum Einschleusen von Schadcode eignet. Betroffen sind Windows 10 in den Versionen 1809 bis 21H2, Windows 11 sowie die Windows Server 2019, 20H2 und 2022.
    • Angriffsvektor: k.A.
    • Angriffskomplexität: k.A.
    • Erforderliche Berechtigungen: k.A.
    • Benutzerinteraktion: k.A.
    • Öffentlich gemacht: Ja
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: k.A.
  • CVE-2022-21833: Dieser kritische Fehler betrifft IDE-Laufwerke in der Virtuellen Maschine, er ermöglicht eine Ausweitung der Rechte. Betroffen sind Windows 7 bis 11 sowie die entsprechenden Server-Ausgaben.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: Base-Score = 7.8; Temporal-Score = 6.8
  • CVE-2022-21840: Wenn ein Angreifer einen Nutzer dazu bringt, ein bestimmtes Dokument zu laden oder eine bestimmte Webseite zu öffnen, kann er auf dessen PC Schadcode ausführen. Betroffen sind die Microsoft 365 Apps for Enterprise, Excel 2013 SP1, 2013 RT SP1 und 2016, die Office-Versionen 2013 SP1, 2013 RT SP1, 2016, 2019 und LTSC 2021, der Office Online Server, der Office Web Apps Server 2013 SP1, die SharePoint Enterprise Server 2013 SP1 und 2016, SharePoint Foundation 2013 SP1, der SharePoint Server 2019 sowie die SharePoint Server Subscription Edition inklusive des zugehörigen Sprachpakets. Die Sicherheits-Updates für die Mac-Varianten von Office 2019 und Office LTSC 2021 sind noch nicht fertig und sollen zu einem späteren Zeitpunkt nachgereicht werden.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: Base-Score = 8.8; Temporal-Score = 7.7
  • CVE-2022-21846: Die National Security Agency (NSA) hat diese kritische Schwachstelle im Exchange Server, über die Schadcode eingeschleust werden kann, gemeldet. Obwohl Angriffe auf der Protokollebene auf eine logisch benachbarte Topologie beschränkt sind und nicht einfach über das Internet erfolgen können, erwartet Microsoft zukünftige Attacken auf diesen Fehler. Betroffen sind die Exchange Server 2013 Cumulative Update 23, 2016 Cumulative Update 21 und 22 sowie 2019 Cumulative Update 10 und 11.
    • Angriffsvektor: Angrenzend
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: wahrscheinlicher
    • CVSS v3.1: Base-Score = 9.0; Temporal-Score = 7.8
  • CVE-2022-21857: Diese kritische Rechteausweitung in den Domain-Diensten für Active Directory nutzt einen Fehler bei eingehenden Vertrauensstellungen aus. Betroffen sind Windows 7 bis 11 sowie die entsprechenden Server-Ausgaben.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: Base-Score = 8.8; Temporal-Score = 7.7
  • CVE-2022-21898: Bei diesem Bug dient der DirectX-Grafikkernel als Einfallstor für Schadcode. Das Problem steckt in Windows 10 Version 1809 bis 21H2 sowie Windows Server 2019, 20H2 und 2022.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: Base-Score = 7.8; Temporal-Score = 6.8
  • CVE-2022-21907: Eine kritische Sicherheitsanfälligkeit im HTTP-Protokollstack stellt immer eine besonders große Gefahr dar und das ist auch hier der Fall. Die Code-Ausführung wird über speziell präparierte Datenpakete provoziert, ist nicht allzu komplex, erfordert weder Berechtigungen noch Nutzerinteraktionen und lässt sich auch für eine Verbreitung per Wurm umsetzen. Angreifbar sind Windows 10 Version 1809 bis 21H2, Windows 11 sowie Windows Server 2019, 20H2 und 2022.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: wahrscheinlicher
    • CVSS v3.1: Base-Score = 9.8; Temporal-Score = 8.5
  • CVE-2022-21912: Auch bei diesem Bug dient der DirectX-Grafikkernel als Einfallstor für Schadcode. Das Problem steckt diesmal in Windows 10 Version 1809 bis 21H2 sowie Windows Server 2019 und 20H2.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: Base-Score = 7.8; Temporal-Score = 6.8
  • CVE-2022-21917: Die letzte kritische Sicherheitslücke steckt in der HEVC-Videoerweiterung. Durchsucht der Explorer ein Verzeichnis, das eine manipulierte Bilddatei enthält, stürzt er ab. Versucht ein Benutzer, eine entsprechende Datei zu öffnen, kann im Rahmen eines kontrollierten Programmabsturzes Schadcode ausgeführt werden.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: Base-Score = 7.8; Temporal-Score = 7.0

Gefahrenstufe hoch
Unter den 88 hochgefährlichen Fehlern finden sich 39 Rechteausweitungen, 22 Code-Ausführungen, neun Möglichkeiten zum Blockieren von Diensten (Denial of Service) und ebenfalls neun Umgehungen von Sicherheitsmaßnahmen. Dazu kommen sechs Datenlecks und drei Täuschungen (Spoofing). Fünf der Sicherheitslücken wurden bereits im Vorfeld öffentlich dokumentiert: CVE-2022-21839 (DoS), CVE-2022-21919 (Rechteausweitung), CVE-2022-21836 (Spoofing), CVE-2021-36976 (Code-Ausführung), CVE-2022-21874 (Code-Ausführung). 0-Day-Lücken, also Schwachstellen, die vor Bereitstellung des Updates bereits ausgenutzt wurden, finden sich diesmal keine.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]