Beim Patch Day am 8. November hat Microsoft etliche Updates bereitgestellt, die 67 Schwachstellen beheben – deutlich weniger als im Vormonat. Microsoft stuft 12 Schwachstellen als kritisch ein und weist den Rest als hohes Risiko aus. Die Lücken betreffen unter anderem Windows, Office, Exchange und Azure. Vier Windows-Schwachstellen werden bereits für Angriffe genutzt. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.
Browser-Updates
Das jüngste Sicherheits-Update für Edge ist die Version 107.0.1418.26 vom 29. Oktober. Sie basiert auf Chromium 107.0.5304.87 und beseitigt unter anderem eine 0-Day-Lücke in der Chromium-Basis. Microsoft hat am 3. November ein Update auf Edge 107.0.1418.35 bereitgestellt, das jedoch keine weiteren Schwachstellen behebt.
Für ältere Windows-Versionen sowie den IE-Modus in Edge gibt es Sicherheits-Updates, die zwei Schwachstellen in MSHTML beseitigen. Darunter ist mit CVE-2022-41128 auch eine 0-Day-Lücke in JScript. Bei Besuch einer entsprechend präparierten Website kann beliebiger Code eingeschleust und ausgeführt werden. Eine zweite JScript-Lücke (CVE-2022-41118) weist Microsoft ebenfalls als kritisch aus, Angriffe darauf soll es jedoch bislang nicht geben.
Office-Lücken
In seinen Office-Produkten, die zukünftig Microsoft 365 heißen sollen, hat Microsoft im November zehn Schwachstellen behoben. Microsoft stuft alle Lücken als hohes Risiko ein. Fünf Sicherheitslücken sind geeignet, um Code einzuschleusen und auszuführen (RCE: Remote Code Execution). Auch Office für Mac ist betroffen, bekommt seine Updates jedoch meist erst etwas später.
Schwachstellen in Windows
Die Mehrzahl der Schwachstellen, in diesem Monat 40, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen. Auch für Windows 8.1 endet der Support demnächst: Beim Update-Dienstag am 10. Januar 2023 erhalten Windows 8.1 sowie auch Windows RT 8.1 die letzten Sicherheits-Updates.
Windows unter Beschuss
In Windows hat Microsoft vier 0-Day-Lücken geschlossen, die allesamt bereits für Angriffe ausgenutzt werden. Microsoft macht allerdings keine Angaben dazu, wie verbreitet diese Attacken sind. Die bereits erwähnte, als kritisch eingestufte JScript-Lücke CVE-2022-41128 gehört ebenso dazu wie CVE-2022-41073 im Druckerwarteschlangendienst (Print Spooler). Außerdem wird die bereits vorab bekannte Schwachstelle CVE-2022-41091 (Mark of the Web, MoW) schon ausgenutzt. Dabei handelt es sich um eine Markierung für aus dem Internet heruntergeladene Dateien, bei deren Ausführung Windows eine Warnmeldung anzeigen sollte. Dies unterbleibt jedoch in diesem Fall. Ebenfalls unter Beschuss ist die Lücke CVE-2022-41125 in der Krypto-Schnittstelle „Cryptography Application Programming Interface – Next Generation“ (CNG). Die drei letztgenannten Sicherheitslücken weist Microsoft als hohes Risiko aus, nicht als kritisch.
Kritische Windows-Lücken
In Windows hat Microsoft drei als kritisch eingestufte Schwachstellen im Point-to-Point Tunneling Protocol (PPTP) behoben. Auch zwei EoP-Lücken (Elevation of Privilege – Rechteausweitung) im Authentifizierungsprotokoll Kerberos (CVE-2022-37966, -37967) weist Microsoft als kritisch aus. Ebenfalls als kritisch eingestuft ist eine DoS-Schwachstelle (Denial of Service) in Hyper-V.
Updates für Exchange
Die beiden seit September bekannten und ausgenutzten 0-Day-Lücken im Mail-Server Exchange (CVE-2022-41040, -41082) können jetzt endlich geschlossen werden. Außerdem hat Microsoft vier weitere Schwachstellen in Exchange beseitigt. Die EoP-Lücke CVE-2022-41080 stuft Microsoft ebenfalls als kritisch ein. Drei weitere Exchange-Schwachstellen weist der Hersteller als hohes Risiko aus.
OpenSSL-Patches
In seine Cloud-Lösung Azure sowie in den quelloffenen Paketmanager vcpkg hat Microsoft die neuesten Sicherheits-Updates für OpenSSL (Version 3.0.7) eingepflegt. Ein Pufferüberlauf (CVE-2022-3602) könnte ausgenutzt werden, um Code einzuschleusen und auszuführen. Dies gilt nach Angaben der Entwickler jedoch als unwahrscheinlich. Sie haben diese Lücke daher von ursprünglich kritisch auf hoch herabgestuft. Ein weiterer Pufferüberlauf (CVE-2022-3786) ist ebenfalls als hohes Risiko ausgewiesen.
Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 24 Lücken schließen. Darunter sind sechs als kritisch ausgewiesene Schwachstellen – auch die 0-Day-Lücke CVE-2022-41128.
Auch im November gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der letzte turnusmäßige Update-Dienstag dieses Jahres ist am 13. Dezember 2022.