Werbung
Fette Prozente: Die aktuellen Gaming-Deals


Microsoft stopft 121 Schwachstellen, darunter eine angestaubte 0-Day-Lücke

Meldung von doelf, Mittwoch der 10.08.2022, 22:54:43 Uhr

logo

Microsoft hat im August 121 Sicherheitslücken in Windows, den Active Directory Domain Services, dem ATA-Port-Treiber, Azure (Batch Knoten-Agent, Echtzeitbetriebssystem, Site Recovery, Sphere), dem Bluetooth-Treiber, Edge (Chromium-basiert), dem Exchange Server, .NET Core, dem RAS-Dienst Point-to-Point-Tunneling-Protokoll, dem System Center Operations Manager und Visual Studio geschlossen. Satte 17 Schwachstellen wurden als kritisch eingestuft, von den übrigen geht eine hohe Gefahr aus. Eine hochgefährliche Remote-Code-Ausführung über das Windows Support Diagnostic Tool (MSDT) wurde einer Vorwarnzeit von drei Jahren zum Trotz schon im Vorfeld ausgenutzt.

Die Liste der verwundbaren Windows-Komponenten umfasst den Bluetooth-Dienst, den Canonical-Anzeigetreiber, den Defender Credential Guard, die digitalen Medien, Direkte Speicherplätze, die Druckerspooler-Komponenten, den Faxdienst (Rolle), die Fehlerberichterstattung, Hello, Hyper-V (Rolle), die Internetinformationsdienste, Kerberos, den Kernel, die lokale Sicherheitsautorität (LSA), den Minifiltertreiber für Clouddateien (Cloud Files Mini Filter Driver), das Network File System, den Partitionsverwaltungstreiber, das Point-to-Point-Tunneling-Protokoll, den Sicheren Start, das Secure Socket Tunneling Protocol (SSTP), den Unified Write Filter, das WebBrowser-Steuerelement, Win32K und das Windows Support Diagnostic Tool (MSDT). Seitens Office werden neben der Büro-Software selbst auch Excel und Outlook aufgeführt.

Betrachten wir zunächst die 17 kritischen Lücken, sortiert nach ihrer CVSS-Einstufung:

  • CVE-2022-30133 ‐ Sicherheitsanfälligkeit im Windows Point-to-Point-Protokoll (PPP) bezüglich Remotecodeausführung:
    Der schwerwiegendste Bug des Monats steckt im Point-to-Point-Protokoll (PPP) und erlaubt das Einschleusen von Schadcode über das Netzwerk ohne irgendwelche Berechtigungen oder Benutzerinteraktionen. Erschwerend kommt hinzu, dass sich dieser Bug leicht ausnutzen lässt. Der Angreifer muss nämlich nur eine speziell gestaltete Verbindungsanforderung an den RAS-Server senden. Bisher wurde der Fehler weder ausgenutzt noch öffentlich gemacht und auch zukünftige Angriffe gelten als unwahrscheinlich. Betroffen sind alle Windows-Versionen von 7 bis 11 sowie die Server von 2008 R2 bis 2022.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
  • CVE-2022-35744 ‐ Sicherheitsanfälligkeit im Windows Point-to-Point-Protokoll (PPP) bezüglich Remotecodeausführung:
    Ausnahmslos alles, was zuvor zu CVE-2022-30133 gesagt wurde, gilt auch für CVE-2022-35744. Der einzige Unterschied besteht darin, dass CVE-2022-35744 ausschließlich über den Port 1723 ausgenutzt werden kann. Die Deaktivierung von Port 1723 bietet somit einen ausreichenden Schutz und stellt eine Alternative zur Installation des Updates dar. Zumindest solange dieser Port im betroffenen Netzwerk nicht benötigt wird.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
  • CVE-2022-34691 ‐ Active Directory Domain Services Elevation of Privilege Vulnerability:
    Ein authentifizierter Benutzer kann Attribute auf Computerkonten, die er besitzt oder verwaltet, manipulieren und ein Zertifikat von den Active Directory-Zertifikatdiensten beziehen, das eine Rechteerweiterung auf das System ermöglicht. Um dies zu unterbinden, empfiehlt Microsoft den Einsatz zertifikatbasierter Authentifizierungsänderungen auf Windows Domänencontrollern. Werden die Active Directory-Zertifikatdienste auf der Domäne nicht ausgeführt, ist auch kein Angriff möglich. Betroffen sind alle Windows-Versionen von 7 bis 11 sowie die Server von 2008 R2 bis 2022. Diese Schwachstelle wurde bisher nicht angegriffen und das Problem auch nicht öffentlich dokumentiert. Zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,8 (Basis); 7,7 (zeitlich)
  • CVE-2022-35804 ‐ Sicherheitsanfälligkeit in SMB Client und Server bezüglich Remotecodeausführung:
    Das Protokoll Server Message Block 3.1.1 (SMBv3) stolpert über manipulierte Datenpakete oder genauer gesagt eine missgestaltete SMBv3-Komprimierung. Gelingt es einem Angreifer, einen lokalen Benutzer zum Zugriff auf einen manipulierten SMB-Server zu verleiten, kann der Angreifer eigenen Code auf dem Server seines Opfers ausführen. Hierzu wird der TCP-Port 445 verwendet. Neben dem Aufspielen von Patches bieten sich die Deaktivierung der SMBv3-Komprimierung und die Blockierung des TCP-Ports 445 als Zwischenlösung an. Als einziges System ist Windows 11 betroffen (sowohl x64 als auch ARM64). Dieser Fehler wurde bisher nicht angegriffen oder öffentlich dokumentiert, doch zukünftige Attacken gelten als wahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: wahrscheinlicher
    • CVSS v3.1: 8,8 (Basis); 7,7 (zeitlich)
  • CVE-2022-34702, CVE-2022-34714, CVE-2022-35745, CVE-2022-35752, CVE-2022-35753, CVE-2022-35767 ‐ Sicherheitsanfälligkeiten im Windows Secure Socket Tunneling Protocol (SSTP) bezüglich Remotecodeausführung:
    Diese Sicherheitslücken erinnern an CVE-2022-30133, doch diesmal ist das Secure Socket Tunneling Protocol (SSTP) betroffen und obwohl es abermals ausreicht, eine speziell gestaltete Verbindungsanforderung an den RAS-Server senden, muss der Angreifer zuvor eine Race-Bedingung für sich entscheiden. Dies erhöht die Komplexität des Angriffs und drückt die CVSS-Einstufung. Wie CVE-2022-30133 wurden auch diese Fehler bisher nicht ausgenutzt oder öffentlich gemacht und auch zukünftige Angriffe gelten als unwahrscheinlich. Betroffen sind abermals alle Windows-Versionen von 7 bis 11 sowie die Server von 2008 R2 bis 2022.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)
  • CVE-2022-35766, CVE-2022-35794 ‐ Sicherheitsanfälligkeiten im Windows Secure Socket Tunneling Protocol (SSTP) bezüglich Remotecodeausführung:
    Alles, was zuvor zu CVE-2022-34702, CVE-2022-34714, CVE-2022-35745, CVE-2022-35752, CVE-2022-35753 und CVE-2022-35767 gesagt wurde, trifft auch auf CVE-2022-35766 und CVE-2022-35794 zu. Der einzige Unterschied liegt in den betroffenen Windows-Versionen, die hier von Windows 10 Version 1809 bis Windows 11 sowie von Server 2019 bis Server 2022 spannen.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)
  • CVE-2022-21980 ‐ Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Rechteerweiterungen:
    Diese Rechteausweitung betrifft die Exchange Server 2013 Cumulative Update 23, 2016 Cumulative Update 22 und 23 sowie 2019 Cumulative Update 11 und 12. Sie kann nur ausgenutzt werden, wenn das Opfer eine Verbindung zu einem Server unter der Kontrolle des Angreifers aufbaut. Um sich vor dieser Sicherheitsanfälligkeit zu schützen, müssen die Betreiber der angreifbaren Exchange Server nicht nur das Update einspielen, sondern zusätzlich den Erweiterten Schutz aktivieren. Wie das funktioniert, will Microsoft über einen verlinkten Artikel erklären, doch leider ist ein kaputter Link hinterlegt. Diese Schwachstelle wurde bisher weder ausgenutzt noch öffentlich gemacht, doch zukünftige Angriffe gelten als wahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: wahrscheinlicher
    • CVSS v3.1: 8,0 (Basis); 7,0 (zeitlich)
  • CVE-2022-24477 ‐ Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Rechteerweiterungen:
    Auch die zweite Rechteausweitung in den Exchange Servern der Versionen 2013 Cumulative Update 23, 2016 Cumulative Update 22 und 23 sowie 2019 Cumulative Update 11 und 12 wurde bisher weder ausgenutzt noch öffentlich gemacht und auch hier hält man in Redmond zukünftige Angriffe für wahrscheinlich. Ein authentifizierter Angreifer kann die Postfächer aller Exchange-Benutzer übernehmen, E-Mails senden, E-Mails lesen und Anhänge herunterladen. Zum Schutz vor dieser Sicherheitsanfälligkeit müssen die Betreiber angreifbarer Exchange Server nicht nur das Update einspielen, sondern zusätzlich den Erweiterten Schutz aktivieren. Leider hat Microsoft auch in dieser Meldung einen fehlerhaften Link für den weiterführenden Artikel hinterlegt.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: wahrscheinlicher
    • CVSS v3.1: 8,0 (Basis); 7,0 (zeitlich)
  • CVE-2022-24516 ‐ Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Rechteerweiterungen:
    Für Rechteausweitung Nummer 3 gilt ebenfalls das zuvor bereits gesagte: Betroffen sind die Exchange Server 2013 Cumulative Update 23, 2016 Cumulative Update 22 und 23 sowie 2019 Cumulative Update 11 und 12, bisher wurde der Fehler weder ausgenutzt noch öffentlich gemacht, zukünftige Angriffe gelten als wahrscheinlich, zum Schutz muss zusätzlich der Erweiterte Schutz aktiviert werden und auch hier hat Microsoft den weiterführenden Artikel falsch verlinkt.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: wahrscheinlicher
    • CVSS v3.1: 8,0 (Basis); 7,0 (zeitlich)
  • CVE-2022-34696 ‐ Sicherheitsanfälligkeit in Windows Hyper-V bezüglich Remotecodeausführung:
    Ein authentifizierter Angreifer kann von der Gastebene aus beliebigen Code auf dem Hyper-V-Host ausführen. Damit dies gelingt, muss er zuvor allerdings eine Race-Bedingung gewinnen, was laut Microsoft recht schwer ist. Bisher wurde dieser Fehler nicht öffentlich dokumentiert und auch nicht angegriffen. Es gilt als unwahrscheinlich, dass die Schwachstelle in Zukunft zu einem Ziel werden könnte. Betroffen sind Windows 8.1 bis 11 sowie die Server von 2012 R2 bis 2022.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 7,8 (Basis); 6,8 (zeitlich)
  • CVE-2022-33646 ‐ Sicherheitsanfälligkeit in Azure Batch Knoten-Agent bezüglich Remotecodeausführung:
    In Azure Batch können lokale Nutzer einen Fehler ausnutzen, um eigenen Code auszuführen. Bevor dies gelingen kann, muss der Angreifer allerdings die Zielumgebung vorbereiten, um seine Chancen auf eine erfolgreiche Attacke zu steigern. Der Fehler wurde im Batch Agent Version 1.9.27 beseitigt. Damit sich der Batch Agent aktualisieren kann, muss man die Größe des Pools auf Null ändern oder den Pool neu erstellen. Diese Schwachstelle wurde weder öffentlich dokumentiert noch ausgenutzt, Microsoft hält zukünftige Angriffe aber für wahrscheinlich.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: wahrscheinlicher
    • CVSS v3.1: 7,0 (Basis); 6,3 (zeitlich)

Weitere Schwachstellen inklusive der 0-Day-Lücke
59 der hochgefährlichen Sicherheitslücken fallen in die Kategorie der Rechteausweitungen, dazu kommen 19 Remote-Code-Ausführungen und zwölf Datenlecks. Ebenfalls als hochgefährlich wurden sieben Möglichkeiten zum Blockieren von Diensten (Denial of Service), sechs Umgehungen von Sicherheitsmaßnahmen sowie eine Manipulation (Tampering) eingestuft. Ein hochgefährliches Datenleck (CVE-2022-30134) wurde bereits im Vorfeld offengelegt, es betrifft die Exchange Server 2013 Cumulative Update 23, 2016 Cumulative Update 22 und 23 sowie 2019 Cumulative Update 11 und 12. Bleibt noch die hochgefährliche 0-Day-Lücke mit der ungewöhnlich langen Vorwarnzeit:

  • CVE-2022-34713 ‐ Sicherheitsanfälligkeit in Microsoft Windows Support Diagnostic Tool (MSDT) bezüglich Remotecodeausführung:
    Wie Microsoft bestätigt, wurden Nutzern manipulierte Dateien per Mail-Anhang oder als Link übermittelt, welche einen Fehler im Windows Support Diagnostic Tool (MSDT) auslösen und es dem Angreifer ermöglichen, eigenen Code auszuführen. Solche 0-Day-Lücken sind nicht selten, doch diesmal ist es für Microsoft besonders dumm gelaufen, da der ursächliche Fehler schon im Jahr 2019 gemeldet wurde. Der Bug, welcher den Spitznamen Dogwalk (Gassi gehen) bekommen hat, wurde vom ungarischen Sicherheitsexperten Imre Rad entdeckt und an Microsoft gemeldet. Als keine Reaktion erfolgte, veröffentlichte Rad am 15. Januar 2020 einen ausführlichen Blog-Beitrag mit dem Titel The trouble with Microsoft's Troubleshooters. Abermals geschah rein gar nichts. Das Problem geriet in Vergessenheit, bis im Mai 2022 eine andere 0-Day-Lücke (CVE-2022-30190) den Fokus auf das Windows Support Diagnostic Tool (MSDT) lenkte und das ungelöste Problem sozusagen wiederentdeckt wurde.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Ja
    • Ausgenutzt: Ja
    • CVSS v3.1: 7,8 (Basis); 7,2 (zeitlich)

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]