Microsoft hat im Mai 73 Schwachstellen gestopft, darunter eine 0-Day-Lücke

Microsoft hat im Mai 73 Sicherheitslücken in Windows, dem Exchange Server, der Graphics-Komponente, dem Local Security Authority Server (lsasrv), .NET, den selbstgehosteten Integration-Runtimes, Visual Studio und Visual Studio Code geschlossen. Sechs Schwachstellen wurden als kritisch eingestuft, von 66 geht eine hohe Gefahr aus und eine ist vergleichsweise harmlos. Der schwerwiegendste Bug steckt im Netzwerkdateisystem NFS und gefährdet praktisch alle Windows-Server. Unter den hochgefährlichen Sicherheitsanfälligkeiten findet sich auch eine 0-Day-Lücke.

Die Liste der verwundbaren Windows-Komponenten umfasst Active Directory, das Adressbuch, Advanced Local Procedure Calls (ALPC), die Authentifizierungsmethoden, die Benutzeroberfläche für Tablets, BitLocker, die Druckerspooler-Komponenten, den Failovercluster-Automatisierungsserver, den Faxdienst (Rolle), Freigegebene Clustervolumes (Cluster Shared Volume, CSV), Hyper-V (Rolle), Kerberos, den Kernel, das Lightweight Directory Access Protocol (LDAP), Media, das Network File System und das NTFS-Dateisystem, das Point-to-Point-Tunneling-Protokoll, Push-Benachrichtungen, den Remotezugriffs-Verbindungs-Manager, das Remotedesktop und den Remotedesktopclient, die Remoteprozeduraufruf-Runtime, den Speicherplatz-Controller, den Server-Dienst und den WLAN Autokonfig-Dienst. Seitens Office wurden Sicherheitslücken in Office, Excel und SharePoint abgesichert.

Betrachten wir zunächst die sechs kritischen Lücken, sortiert nach ihrer CVSS-Einstufung:

• CVE-2022-26937 ‐ Sicherheitsanfälligkeit im Windows-Netzwerkdateisystem bezüglich Remotecodeausführung:
  Die gefährlichste Sicherheitslücke steckt diesen Monat im Windows-Netzwerkdateisystem NFS, genauer gesagt in dessen Versionen 2 und 3. NFS Version 4.1 ist nicht betroffen, weshalb die Deaktivierung der älteren Varianten Angriffe auf diesen Fehler unterbindet. Systeme, die noch die älteren Versionen nutzen, werden dabei allerdings ausgesperrt. Um eigenen Code einzuschleusen, muss ein Angreifer lediglich einen speziell gestalteten Aufruf des Network File System-Dienstes (NFS) absetzen. Die Attacke erfolgt über das Netzwerk ohne Authentifizierung. Betroffen sind alle Windows-Server von 2008 bis 2022. Die einzige gute Nachricht besteht darin, dass diese Schwachstelle bisher weder ausgenutzt noch öffentlich dokumentiert wurde. Man sollte sich aber unverzüglich auf baldige Angriffe vorbereiten.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • Eine zukünftige Ausnutzung ist: wahrscheinlicher
  • CVSS v3.1: 9,8 (Basis); 8,5 (zeitlich)
• CVE-2022-22017 ‐ Sicherheitsanfälligkeit im Windows-Remotedesktopclient bezüglich Remotecodeausführung:
  Wenn ein Angreifer einen Benutzer dazu bringen kann, eine Verbindung zu einem bösartigen RDP-Server aufzubauen, kann der Angreifer in der Folge beliebigen Code im Kontext des Benutzers ausführen. Betroffen sind Windows 11, Server 2022 und der Remotedesktopclient für Windows. Dieser Fehler wurde bisher zwar nicht öffentlich dokumentiert oder ausgenutzt, doch Angreifer müssen nur geringe Hürden überwinden, so dass man von zukünftigen Attacken auf diese Lücke ausgehen muss.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Anforderung
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • Eine zukünftige Ausnutzung ist: wahrscheinlicher
  • CVSS v3.1: 8,8 (Basis); 7,7 (zeitlich)
• CVE-2022-26923 ‐ Active Directory Domain Services Elevation of Privilege Vulnerability:
  Ein authentifizierter Benutzer kann Attribute auf Computerkonten, die er besitzt oder verwaltet, manipulieren und ein Zertifikat von den Active-Directory-Zertifikatdiensten beziehen. Hieraus ergibt sich eine Rechteerweiterung, welche Windows 8.1 bis 11 sowie die Server 2012 R2 bis 2022 bedroht. Diese Schwachstelle wurde bisher weder ausgenutzt noch öffentlich gemacht, dennoch gelten zukünftige Angriffe als wahrscheinlich.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Berechtigungen: Niedrig
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • Eine zukünftige Ausnutzung ist: wahrscheinlicher
  • CVSS v3.1: 8,8 (Basis); 7,7 (zeitlich)
• CVE-2022-21972 ‐ Sicherheitsanfälligkeit im Point-to-Point Tunneling Protocol bezüglich Remotecodeausführung:
  Wenn ein nicht authentifizierter Angreifer eine speziell gestaltete Verbindungsanforderung an einen RAS-Server sendet, kann dieser dazu gebracht werden, beliebigen Code auszuführen. Damit dies gelingt, muss der Angreifer allerdings eine Race-Bedingung gewinnen, weshalb die Komplexität dieser Attacke als hoch eingestuft wurde. Betroffen sind Windows 7 bis 11 sowie die Server von 2008 bis 2022. Diese Schwachstelle wurde bisher weder ausgenutzt noch öffentlich gemacht, zukünftige Angriffe gelten als unwahrscheinlich.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Hoch
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
  • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)
• CVE-2022-23270 ‐ Sicherheitsanfälligkeit im Point-to-Point Tunneling Protocol bezüglich Remotecodeausführung:
  Wenn ein nicht authentifizierter Angreifer eine speziell gestaltete Verbindungsanforderung an einen RAS-Server sendet, kann dieser dazu gebracht werden, beliebigen Code auszuführen. Damit dies gelingt, muss der Angreifer allerdings eine Race-Bedingung gewinnen, weshalb die Komplexität dieser Attacke als hoch eingestuft wurde. Betroffen sind Windows 7 bis 11 sowie die Server von 2008 bis 2022. Diese Schwachstelle wurde bisher weder ausgenutzt noch öffentlich gemacht, im Gegensatz zu CVE-2022-21972 hält Microsoft zukünftige Angriffe hier allerdings für wahrscheinlich.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Hoch
  • Erforderliche Berechtigungen: Keine
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • Eine zukünftige Ausnutzung ist: wahrscheinlicher
  • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)
• CVE-2022-26931 ‐ Sicherheitsanfälligkeit in Windows Kerberos bezüglich Rechteerweiterungen:
  Ein Fehler im Authentifizierungsdienst Kerberos kann es einem authentifizierten Benutzer ermöglichen, seine Rechte auszuweiten. Hierzu ist es jedoch erforderlich, die Zielumgebung vorzubereiten, was die Komplexität der Attacke erhöht. Betroffen sind Windows 7 bis 11 sowie die Server von 2008 bis 2022. Diese Schwachstelle wurde bisher weder ausgenutzt noch öffentlich gemacht, zukünftige Angriffe gelten als unwahrscheinlich.
  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Hoch
  • Erforderliche Berechtigungen: Niedrig
  • Benutzerinteraktion: Keine
  • Öffentlich gemacht: Nein
  • Ausgenutzt: Nein
  • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
  • CVSS v3.1: 7,5 (Basis); 6,5 (zeitlich)

Weitere Schwachstellen und eine 0-Day-Lücke
Zwanzig der hochgefährlichen Lücken fallen in die Kategorie der Remote-Code-Ausführungen, dazu kommen 19 Rechteausweitungen und 17 Datenlecks. Ebenfalls als hochgefährlich wurden fünf Möglichkeiten zum Blockieren von Diensten (Denial of Service), vier Umgehungen von Sicherheitsmaßnahmen und eine Täuschung (Spoofing) eingestuft. Ein weitere DoS-Lücke gilt als vergleichsweise harmlos.

Einer der hochgefährlichen Fehler ‐ CVE-2022-26925 ‐ Sicherheitsanfälligkeit in Windows LSA bezüglich Spoofing (CVSS v3.1: 8,1/7,1) ‐ wurde bereits im Vorfeld ausgenutzt, es handelt sich somit um eine 0-Day-Lücke. Da die LSARPC-Schnittstelle bisher anonyme Verbindungen duldete, konnten Angreifer den Domain-Controller dazu bringen, sie über NTLM zu authentifizieren. Dieses Verhalten wurde nun abgestellt. Betroffen sind Windows 7 bis 11 sowie die Server von 2008 bis 2022.

Ein hochgefährlicher DoS-Angriff ‐ CVE-2022-22713 ‐ Sicherheitsanfälligkeit in Windows Hyper-V bezüglich Denial-of-Service (CVSS v3.1: 5,6/5,1) ‐ wurde vorab öffentlich gemacht. Dieser betrifft Windows 10 in den Versionen 20H2, 21H1 und 21H2 sowie Windows Server Version 20H2 (Server Core Installation).