Der Patch Day am 12. April bringt etliche Updates, die 119 Schwachstellen beheben. Dabei sind die in der Vorwoche in Edge gestopften Lücken nicht mitgerechnet. Microsoft stuft zehn Schwachstellen als kritisch ein und weist den Rest als hohes Risiko aus. Die Lücken betreffen unter anderem Windows, Defender, Hyper-V, DNS Server und Office. Eine Schwachstelle (CVE-2022-24521) wird bereits für Angriffe genutzt, für eine weitere (CVE-2022-26904) ist Exploit-Code öffentlich verfügbar. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf.
Browser
Das jüngste Sicherheits-Update für Edge (Chromium) ist die Version 100.0.1185.36, die bereits seit dem 7. April verfügbar ist. Sie basiert wie das jüngere Bug-Fix-Update 100.0.1185.39 vom 11. April auf Chromium 100.0.4896.75 und beseitigt eine Chromium-Lücke. Google hat am 11. April ein neues Update auf Chrome 100.0.4896.88 veröffentlicht, das weitere 11 Schwachstellen behebt. Ein entsprechendes Edge-Update steht noch aus, dürfte jedoch noch vor Ostern bereitstehen.
Office
In seiner Office-Produkten hat Microsoft im April sechs Schwachstellen behoben. Microsoft weist alle als hohes Risiko aus. Drei der Lücken sind geeignet, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen (RCE: Remote Code Execution). Eine dieser Schwachstellen (CVE-2022-26903) betrifft auch die Mobil-Apps (Excel, Powerpoint, Word). Die beiden anderen RCE-Lücken (CVE-2022-24473, CVE-2022-26901) stecken in Excel und betreffen auch Office für Mac.
Windows
Die Mehrzahl der Schwachstellen, in diesem Monat 101, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen. Netzwerk-Admins sollten insbesondere die Lücke CVE-2022-26815 in Windows DNS Server beachten. Falls dynamische Updates aktiviert sind, könnte ein Angreifer Code einschleusen und mit erhöhen Berechtigungen ausführen. Im DNS Server hat Microsoft insgesamt 18 Sicherheitslücken geschlossen. Alle sind geeignet, um Code einzuschleusen und auszuführen.
▶Die neuesten Sicherheits-Updates Auch die drei als kritisch ausgewiesenen Schwachstellen in Hyper-V sollten Sie priorisieren, falls Sie Hyper-V nutzen. Bei erfolgreicher Ausnutzung könnte Code im Gastsystem aus der virtuellen Maschine ausbrechen und auf dem Host ausgeführt werden. Bei Hyper-V kommen noch sechs weitere gestopfte Lücken hinzu, die Microsoft als hohes Risiko einstuft. Die als kritisch eingestufte RCE-Lücke CVE-2022-26809 in der RPC-Laufzeitbibliothek erscheint Wurm-tauglich, zumindest innerhalb eines Netzwerks. Microsoft weist hierfür den hohen CVSS-Score 9.8 aus (CVSS: Common Vulnerability Scoring System). In der Windows Druckerwarteschlange (Print Spooler) hat Microsoft in diesem Monat 15 Sicherheitslücken geschlossen. Alle sind als hohes Risiko ausgewiesen. Zum Teil ähneln sie bereits früher gestopften Lücken. Es ist zu hoffen, dass diese Updates nicht wieder Probleme bereiten. Bereits für Angriffe ausgenutzt wird die Schwachstelle CVE-2022-24521 im Treiber des gemeinsamen Protokolldateisystems. Ein Angreifer, der diese Lücke ausnutzt, kann sich höhere Berechtigungen verschaffen (EoP: Elevation of Privilege). Da ihn dies allein noch nicht ans Ziel bringt, wird er beim Angriff eine Kombination mit einer RCE-Lücke einsetzen, etwa in Acrobat Reader oder Office. Im Windows-Benutzerprofildienst steckt mit CVE-2022-26904 ebenfalls eine EoP-Lücke. Ein Angreifer könnte im Erfolgsfall Code mit Systemrechten ausführen, wenn er diese Lücke mit einem RCE-Bug kombiniert. Für dieses Schwachstelle ist beispielhafter Exploit-Code öffentlich verfügbar. Mehr noch: Es existiert bereits ein Metasploit-Modul dafür.
Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 51 Lücken schließen. Darunter sind auch die vorgenannten 0-Day-Lücken CVE-2022-24521 und CVE-2022-26904. Auch im April gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 10. Mai 2022.