Patch Day: Microsoft stopft 0-Day-Lücken in Windows und Office

Beim Patch Day am 11. Oktober hat Microsoft etliche Updates bereitgestellt, die 84 Schwachstellen beheben. Microsoft stuft 13 Schwachstellen als kritisch ein und weist den Rest als hohes Risiko aus. Die Lücken betreffen unter anderem Windows, Office und Azure. Eine Windows-Schwachstelle (CVE-2022-41033) wird bereits für Angriffe genutzt. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.

Browser-Updates

Das jüngste Sicherheits-Update für Edge ist die Version 106.0.1370.37 vom 3. Oktober. Sie basiert auf Chromium 106.0.5249.91 und beseitigt mehrere Chromium-Schwachstellen sowie eine Edge-spezifische Spoofing-Lücke (CVE-2022-41035). Google hatte am 30. September ein Sicherheits-Update für Chrome veröffentlicht. Microsoft hat am 10. Oktober ein Update auf Edge 106.0.1370.42 bereitgestellt, das jedoch keine weiteren Schwachstellen behebt.

Office-Lücken

In seinen Office-Produkten hat Microsoft im Oktober neun Schwachstellen behoben. Microsoft stuft zwei Lücken als kritisch ein und weist alle als hohes Risiko aus. Sieben Sicherheitslücken sind geeignet, um Code einzuschleusen und auszuführen (RCE: Remote Code Execution). Vier davon betreffen insbesondere Sharepoint, eine davon (CVE-2022-41038) gilt als kritisch. Auch eine Word-Schwachstelle (CVE-2022-38048) weist Microsoft als kritisch aus. Das Datenleck CVE-2022-41043 war bereits vorab öffentlich bekannt und gilt daher als 0-Day-Lücke. Angriffe auf Office-Lücken sind derzeit nicht bekannt.

Schwachstellen in Windows

Die Mehrzahl der Schwachstellen, in diesem Monat 67, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.

Windows unter Beschuss

Die Schwachstelle CVE-2022-41033 im Ereignissystemdienst Windows COM+ wird bereits für Angriffe ausgenutzt. Meist werden solche Lücken im Kombination mit weiteren Schwachstellen eingesetzt. In einem typischen Szenario öffnet ein angemeldeter Benutzer einen speziell präparierten Mail-Anhang oder eine Web-Seite. Diese enthält schädlichen Code, der mit Systemrechten ausgeführt wird. Microsoft weist diese Schwachstelle als hohes Risiko aus.

Kritische Windows-Lücken

In Windows hat Microsoft zehn als kritisch eingestufte Schwachstellen beseitigt. Allein sieben RCE-Lücken betreffen das Point-to-Point Tunneling Protocol. Auch eine Spoofing-Lücke (CVE-2022-34689) in der Crypto-API (Programmierschnittstelle) weist Microsoft als kritisch aus. Ebenfalls als kritisch eingestuft sind zwei EoP-Lücken (Elevation of Privilege) in Hyper-V (CVE-2022-37979) und im Active Directory (CVE-2022-37976)

Keine Updates für Exchange

Die seit September bekannten und ausgenutzten 0-Day-Lücken im Mail-Server Exchange bleiben einstweilen ohne adäquate Therapie. Microsoft hat noch keine Updates bereitgestellt, lediglich einen bereits mehrfach nachgebesserten Workaround, eine Request-Block-Regel für Autodiscover. Zudem sollten Admins normalen Benutzern den Zugriff über das Netzwerk auf die Powershell sperren. Da muss erst einmal genügen, bis es Sicherheits-Updates gibt, um die Lücken zu schließen.

Extended Security Updates (ESU)

Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 44 Lücken schließen. Darunter sind neun als kritisch ausgewiesene Schwachstellen sowie die 0-Day-Lücke CVE-2022-41033.

Auch im Oktober gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 8. November 2022.