Werbung
Unverzichtbar für das Home Office: Webcams von Logitech


Microsoft stopft 49 Schwachstellen inklusive einer 0-Day-Lücke

Meldung von doelf, Freitag der 16.12.2022, 14:33:18 Uhr

logo

Microsoft hat im Dezember 49 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert), Azure Arc, Dynamics, dem .NET Framework, SysInternals, der Graphics-Komponente, dem Bluetoothtreiber und dem Client-Server-Runtime-Subsystem (CSRSS) geschlossen. Sechs Schwachstellen wurden als kritisch eingestuft, von 41 geht eine hohe Gefahr aus und die 0-Day-Lücke ist von mittlerer Schwere. Darüber hinaus hat Microsoft Maßnahmen gegen eine böswillige Nutzung signierter Treiber ergriffen und die verantwortlichen Konten im Programm für Entwickler geschlossen sowie Sperrerkennungen implementiert.

Hier eine Liste der verwundbaren Windows-Komponenten: DirectX, Druckerspooler-Komponenten, Fax Compose Form, Fehlerberichterstattung, HTTP-Druckanbieter, Hyper-V (Rolle), Kernel, Kontakte, Medienbibliothek, PowerShell, Projected File System, Secure Socket Tunneling Protocol (SSTP), SmartScreen, Subsystem für Linux, Terminal und Zertifikate. Seitens Office werden neben der Büro-Software selbst auch OneNote, Outlook, SharePoint und Visio aufgeführt.

Betrachten wir zunächst die fünf kritischen Lücken, sortiert nach ihrer CVSS-Einstufung:

  • CVE-2022-44690 und CVE-2022-44693 ‐ Sicherheitsanfälligkeiten in Microsoft SharePoint Server bezüglich Remotecodeausführung:
    Ein authentifizierter Benutzer mit der Berechtigung zum Verwalten von Listen kann beliebigen Code auf dem SharePoint Server ausführen. Betroffen sind der SharePoint Enterprise Server 2013 Service Pack 1, SharePoint Foundation 2013 Service Pack 1, der SharePoint Enterprise Server 2016, der SharePoint Server 2019 sowie die SharePoint Server Subscription Edition. Diese Schwachstellen wurden bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Auch zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,8 (Basis); 7,7 (zeitlich)
  • CVE-2022-41076 ‐ Sicherheitsanfälligkeit in PowerShell bezüglich Remotecodeausführung:
    Ein authentifizierter Benutzer ohne besondere Rechte kann diese Sicherheitsanfälligkeit auslösen, um aus der Remoting-Sitzungskonfiguration von PowerShell zu entkommen und nicht genehmigte Befehle auf dem Zielsystem auszuführen. Der Angriff selbst gestaltet sich allerdings kompliziert, da zusätzliche Maßnahmen zur Vorbereitung der Zielumgebung erforderlich sind. Betroffen sind PowerShell 7.2 und 7.3 und somit auch Windows 7 bis 11 sowie die Server von 2008 R2 bis 2022. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Zukünftige Attacken gelten allerdings als wahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: wahrscheinlicher
    • CVSS v3.1: 8,5 (Basis); 7,4 (zeitlich)
  • CVE-2022-41127 ‐ Sicherheitsanfälligkeit in Microsoft Dynamics NAV und Microsoft Dynamics 365 Business Central (vor Ort) bezüglich Remotecodeausführung:
    Ein authentifizierter Benutzer ohne besondere Rechte kann diese Sicherheitsanfälligkeit auslösen, um über das geöffnete Port Dynamics NAV eine Verbindung mit dem WCF-TCP-Protokoll herzustellen. Im Anschluss kann der Angreifer versuchen, schädlichen Code im Kontext des Serverkontos über einen Netzwerkaufruf auszulösen. Betroffen sind Dynamics 365 Business Central 2019 (Spring Update und Release Wave 2), Dynamics 365 Business Central 2020, 2021 und 2022 (jeweils Release Wave 1 und 2) sowie Dynamics NAV 2016, 2017 und 2018. Diese Schwachstelle wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,5 (Basis); 7,4 (zeitlich)
  • CVE-2022-44670 und CVE-2022-44676 ‐ Sicherheitsanfälligkeiten im Windows Secure Socket Tunneling Protocol (SSTP) bezüglich Remotecodeausführung:
    Ein nicht authentifizierter Benutzer kann eine speziell gestaltete Verbindungsanforderung an einen RAS-Server senden und diesen dazu bringen, beliebigen Code auszuführen. Hierzu ist es erforderlich, dass der Angreifer eine Race-Bedingung gewinnt. Betroffen sind Windows 7 bis 11 sowie die Server von 2008 R2 bis 2022. Diese beiden Schwachstellen wurde bisher nicht angegriffen und auch nicht öffentlich dokumentiert. Auch zukünftige Attacken gelten als unwahrscheinlich.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: 8,1 (Basis); 7,1 (zeitlich)

Weitere Schwachstellen inklusive der 0-Day-Lücke
Je 17 der hochgefährlichen Sicherheitslücken fallen in die Kategorien Remote-Code-Ausführung und Rechteausweitung. Dazu kommen drei Datenlecks, zwei Möglichkeiten zum Blockieren von Diensten (Denial of Service) sowie je ein Fall von Täuschung (Spoofing) und Umgehung von Sicherheitsmaßnahmen. Eine hochgefährliche Rechteerweiterung im DirectX-Grafikkernel von Windows 11 Version 22H2 (CVE-2022-44710) wurde bereits im Vorfeld offengelegt, sie betrifft sowohl die x64- als auch die ARM64-Architektur. Damit kommen wir zur mittelschweren 0-Day-Lücke:

  • CVE-2022-44698 ‐ Sicherheitsanfälligkeit in Windows SmartScreen bezüglich Umgehung von Sicherheitsfunktionen:
    Mit Hilfe einer speziell erstellen Datei, können Angreifer die MOTW-Schutzmechanismen (Mark of the Web) umgehen. MOTW ist dabei eine Zonenkennung in Form eines NTFS-Streams, mit der aus dem Internet heruntergeladene Dateien (ADS ZoneId=3) gekennzeichnet werden. Für derart gekennzeichnete Dateien führt Windows SmartScreen bei Zugriffen zunächst eine Reputationsprüfung durch und Microsoft Office öffnet sie in der geschützten Ansicht. Zur Verteilung der bösartigen Dateien wurden Webseiten sowie URLs in Chat- oder E-Mail-Nachrichten genutzt. Betroffen sind Windows 10 und 11 sowie die Server von 2016 bis 2022.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: 5,4 (Basis); 5,0 (zeitlich)

Angriffe über signierte Treiber
Bleibt noch die böswillige Nutzung signierter Treiber durch angemeldete Entwickler. Dieser Missbrauch wurde Microsoft am 19. Oktober 2022 von externen Sicherheitsexperten (SentinelOne, Mandiant und Sophos X-Ops) gemeldet, die auf bösartige Treiber mit einer offiziellen Zertifizierung durch das Windows Hardware-Entwicklerprogramm gestoßen waren. Die Treiber seien auf von Hackern zuvor bereits übernommenen Rechnern für Post-Exploitation-Aktivitäten verwendet wurden, also vermutlich um sich den Zugang dauerhaft zu sichern. Microsoft hat die betroffenen Entwickler- bzw. Verkäuferkonten seiner Partner gesperrt, das Zertifikat für betroffene Dateien per Sicherheits-Update widerrufen und die entsprechenden Sperrerkennungen seit der Version 1.377.987.0 im Defender integriert.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]