Microsoft hat im März 71 Schwachstellen gestopft
Meldung von doelf, Mittwoch der 09.03.2022, 10:52:30 Uhr
Microsoft hat im März 71 Sicherheitslücken in Windows, Edge (Chromium-basiert), Office, der Skype-Erweiterung für Chrome, dem Exchange Server, Paint 3D, Intune, dem Defender (Endpoint sowie IoT), .NET, Visual Studio und Visual Studio Code, Azure Site Recovery sowie der XBox geschlossen. Drei Schwachstellen wurden als kritisch eingestuft, von allen übrigen geht eine hohe Gefahr aus. Keine der Sicherheitsanfälligkeiten wurde im Vorfeld ausgenutzt.
Die Liste der verwundbaren Windows-Komponenten umfasst ALPC (Advanced Local Procedure Calls), die Benutzeroberfläche für Tablets, den CD-ROM-Treiber, COM, die Druckerspooler-Komponenten, die DWM-Kernbibliothek, die Ereignisablaufverfolgung, den Fastfat-Treiber, den Fax- und Scan-Dienst, die HTML-Plattformen, den Installer, den Kernel, Media und die Medienbibliothek, den Minifiltertreiber für Cloud-Dateien (Cloud Files Mini Filter Driver), PDEV (private, lokal definierte Strukturen), das Point-to-Point-Tunneling-Protokoll, den Remotedesktop, die Rolle für Hyper-V, die Security Support Provider-Schnittstelle, den SMB-Server, den Treiber des gemeinsamen Protokolldateisystems, den Update-Stack und die Zusatzfunktionstreiber für Winsock. Seitens Office wurden Sicherheitslücken in Visio und Word abgesichert.
Betrachten wir zunächst die drei kritischen Lücken:
- CVE-2022-23277: Authentifizierte Benutzer können über diese Sicherheitsanfälligkeit Exchange-Serverkonten angreifen und schädlichen Code im Kontext des Serverkontos über einen Netzwerkaufruf ausführen. Dieser Fehler wurde bisher zwar nicht öffentlich dokumentiert, doch Angreifer müssen nur geringe Hürden überwinden, so dass man von zukünftigen Attacken auf diese Lücke ausgehen muss. Betroffen sind die Exchange Server 2019 (Cumulative Update 11 und 10), 2016 (Cumulative Update 22 und 21) und 2013 (Cumulative Update 23).
- Angriffsvektor: Netzwerk
- Angriffskomplexität: Niedrig
- Erforderliche Berechtigungen: Niedrig
- Benutzerinteraktion: Keine
- Öffentlich gemacht: Nein
- Ausgenutzt: Nein
- Eine zukünftige Ausnutzung ist: wahrscheinlicher
- CVSS v3.1: 8,8
- CVE-2022-22006: Einmal mehr ermöglicht die HEVC-Videoerweiterung das Einschleusen von Schadcode, wenn der Angreifer einen lokalen Nutzer dazu verleiten kann, eine manipulierte Videodatei abzuspielen. Im Microsoft Store wurde die fehlerbereinigte Version 1.0.50362.0 der Erweiterung bereitgestellt. Wurde die App vom Hersteller vorinstalliert, gilt auch die Version 1.0.50361.0 als abgesichert. Bisher wurde der Bug nicht öffentlich dokumentiert und Microsoft befürchtet auch keine Angriffe auf diese Schwachstelle.
- Angriffsvektor: Lokal
- Angriffskomplexität: Niedrig
- Erforderliche Berechtigungen: Keine
- Benutzerinteraktion: Anforderung
- Öffentlich gemacht: Nein
- Ausgenutzt: Nein
- Eine zukünftige Ausnutzung ist: unwahrscheinlicher
- CVSS v3.1: 7,8
- CVE-2022-24501: Auch über die VP9-Videoerweiterung lässt sich Schadcode einschleusen und auch hier muss der Angreifer einen lokalen Nutzer nur dazu bringen, eine manipulierte Videodatei abzuspielen. Im Microsoft Store wurde inzwischen die fehlerbereinigte Version 1.0.42791.0 der Erweiterung bereitgestellt. Dieses Problem wurde bisher nicht öffentlich dokumentiert und Microsoft erwartet auch keine Angriffe auf diese Schwachstelle.
- Angriffsvektor: Lokal
- Angriffskomplexität: Niedrig
- Erforderliche Berechtigungen: Keine
- Benutzerinteraktion: Anforderung
- Öffentlich gemacht: Nein
- Ausgenutzt: Nein
- Eine zukünftige Ausnutzung ist: unwahrscheinlicher
- CVSS v3.1: 7,8