Microsoft stopft 63 Schwachstellen, darunter eine 0-Day-Lücke

Microsoft hat im September 63 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert), Azure Arc, der Cache-Spekulation, dem DNS-Server (Rolle), Dynamics, der Graphics-Komponente, HTTP.sys, dem .NET Framework, dem Registrierungsdienst für Netzwerkgeräte (NDES), SPNEGO Extended Negotiation (Simple and Protected GSSAPI Negotiation Mechanism), Visual Studio und Visual Studio Code geschlossen. Fünf Schwachstellen wurden als kritisch eingestuft, von den übrigen geht eine hohe Gefahr aus. Eine hochgefährliche Rechteerweiterungen im Treiber des gemeinsamen Protokolldateisystems wurde schon im Vorfeld ausgenutzt.

Hier eine Liste der verwundbaren Windows-Komponenten: ALPC (Advanced Local Procedure Call), API zum Importieren von Fotos, Defender, Dienst für das Roaming von Anmeldeinformationen, DPAPI (Data Protection Application Programming Interface, Datenschutz-Anwendungsprogrammierschnittstelle), Druckerspooler-Komponenten, Enterprise App-Verwaltung, Ereignisablaufverfolgung, Faxdienst (Rolle), Gruppenrichtlinie, IKE-Erweiterung, Kerberos, Kernel, LDAP (Lightweight Directory Access Protocol), Medienbibliothek, ODBC-Treiber, OLE, Remoteprozeduraufruf, Remotezugriffs-Verbindungs-Manager, TCP/IP, Transport Security Layer (TLS), Treiber des gemeinsamen Protokolldateisystems, verteiltes Dateisystem (DFS). Seitens Office werden neben der Büro-Software selbst auch SharePoint und Visio aufgeführt.

Betrachten wir zunächst die fünf kritischen Lücken, sortiert nach ihrer CVSS-Einstufung:

• CVE-2022-34718 ‐ Sicherheitsanfälligkeit in Windows-TCP/IP bezüglich Remotecodeausführung:
  Der schwerwiegendste Bug des Monats ist dreiteilig. Der erste Teil betrifft das TCP /IP-Protokoll und erlaubt das Einschleusen von Schadcode über das Netzwerk ohne irgendwelche Berechtigungen oder Benutzerinteraktionen. Erschwerend kommt hinzu, dass sich dieser Bug leicht ausnutzen lässt. Der Angreifer muss lediglich ein speziell gestaltetes IPv6-Paket an einen Windows-Knoten senden, in dem IPSec aktiviert ist, um eine Remotecodeausführung auf diesem Computer zu provozieren. Bisher wurde der Fehler weder ausgenutzt noch öffentlich gemacht, doch zukünftige Angriffe gelten als wahrscheinlich. Betroffen sind alle Windows-Versionen von 7 bis 11 sowie die Server von 2008 R2 bis 2022.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • Eine zukünftige Ausnutzung ist: wahrscheinlicher
  • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
• CVE-2022-34721, CVE-2022-34722 ‐ Sicherheitsanfälligkeiten in den Protokollerweiterungen für den Windows-Internetschlüsselaustausch (IKE) bezüglich Remotecodeausführung:
  Die Teile zwei und drei des schwerwiegendsten Bugs betreffen die Protokollerweiterungen für den Windows-Internetschlüsselaustausch (IKE). Wie bei CVE-2022-34718 bedarf es keinerlei Berechtigungen oder Benutzerinteraktionen und die Hürden sind abermals niedrig. Die Attacken selbst geschehen über speziell gestaltete IPv6-Pakete und funktionieren ausschließlich mit IKEv1. Nur wenn ein Server ausschließlich IKEv2 akzeptiert, lässt sich der Angriff nicht durchführen. Die Fehler wurden im Vorfeld weder ausgenutzt noch öffentlich gemacht, zukünftige Angriffe gelten als unwahrscheinlich. Betroffen sind alle Windows-Versionen von 7 bis 11 sowie die Server von 2008 R2 bis 2022.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
  • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
• CVE-2022-34700, CVE-2022-35805 ‐ Microsoft Dynamics CRM (on-premises) Remote Code Execution Vulnerability:
  Ein authentifizierter Benutzer kann speziell gestaltete, vertrauenswürdige Lösungspakete ausführen und dabei beliebige SQL-Befehle ausführen. Im schlimmsten Fall kann es dem Angreifer gelingen, Befehle als db_owner innerhalb der Dynamics 356 Datenbank auszuführen. Betroffen ist Microsoft Dynamics CRM (on-premises) in den Versionen 9.0 und 9.1. Diese beiden Schwachstellen wurden bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Zukünftige Attacken gelten als unwahrscheinlich.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Niedrig
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
  • CVSS v3.1: 8,8 (Basis); 7,7 (zeitlich)

Weitere Schwachstellen inklusive der 0-Day-Lücke
25 der hochgefährlichen Sicherheitslücken fallen in die Kategorie der Remote-Code-Ausführungen, dazu kommen 18 Rechteausweitungen und sieben Datenlecks. Ebenfalls als hochgefährlich wurden sieben Möglichkeiten zum Blockieren von Diensten (Denial of Service) und eine Umgehung von Sicherheitsmaßnahmen eingestuft. Ein hochgefährliches Datenleck (Spectre-BHB, CVE-2022-23960) wurde bereits im Vorfeld vom CPU-Entwickler ARM offengelegt, es betrifft aufgrund der CPU-Architektur ausschließlich Windows 11 for ARM64. Damit bleibt nur noch die hochgefährliche 0-Day-Lücke:

• CVE-2022-37969 ‐ Sicherheitsanfälligkeit im Treiber des gemeinsamen Protokolldateisystems bezüglich Rechteerweiterungen:
  Der Angreifer benötigt zwar keine besonderen Berechtigungen, muss sich aber zumindest authentifizieren und auch in der Lage sein, auf dem lokalen System eigenen Code auszuführen. Wenn der Angriff gelingt, erlangt der bösartige Nutzer System-Rechte. Betroffen sind alle Windows-Versionen von 7 bis 11 sowie die Server von 2008 R2 bis 2022.
  • Angriffsvektor: Lokal
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Niedrig
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Ja
  • Ausgenutzt: Ja
  • CVSS v3.1: 7,8 (Basis); 6,8 (zeitlich)