2635342

Patch Day: Kritische Lücken in Windows, Office und Exchange

12.01.2022 | 09:31 Uhr | Frank Ziemann

Beim Update-Dienstag im Januar hat Microsoft insgesamt 97 Sicherheitslücken beseitigt. Darunter sind neun Schwachstellen, die Microsoft als kritisch einstuft, etwa in Exchange und Office.

Beim ersten Patch Day dieses Jahres hat Microsoft mehr Sicherheitslücken geschlossen als bislang im Januar. Die Updates beheben 97 Schwachstellen, die in der Vorwoche in Edge gestopften Lücken nicht mitgerechnet. Microsoft stuft neun Schwachstellen als kritisch ein, den Rest als hohes Risiko. Kritische Lücken betreffen unter anderem Windows, Exchange und Microsoft Office. Fünf Schwachstellen waren vorab öffentlich bekannt, Angriffe sind bislang nicht bekannt. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf.

Browser
Das jüngste Sicherheits-Update für Edge (Chromium) ist die Version 97.0.1072.55, die bereits seit dem 6. Januar verfügbar ist. Sie basiert auf Chromium 97.0.4692.71 und beseitigt neben etlichen Chromium-Lücken auch fünf Edge-eigene Sicherheitslücken.

Office
In seiner Office-Produkten hat Microsoft im Januar vier Schwachstellen behoben. Microsoft stuft eine der Lücken (CVE-2022-21840) als kritisch ein und weist die anderen als hohes Risiko aus. Alle vier Lücken sind geeignet, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen. Bei der als kritisch ausgewiesenen Schwachstelle können die sonst üblichen Warndialoge fehlen. Es sind mehrere Updates nötig, um diese Anfälligkeit zu beseitigen. Auch Office für Mac ist betroffen, doch die entsprechenden Updates sind noch nicht verfügbar.

Windows
Die Mehrzahl der Schwachstellen, in diesem Monat 87, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen. Microsoft stuft sieben Windows-Schwachstellen als kritisch ein.

Zu den kritischen Lücken gehört CVE-2022-21907 im HTTP-Protokollstapel (http.sys). Ein Angreifer könnte speziell präparierte Pakete an den Rechner senden und damit Code einschleusen und mit den erhöhten Berechtigungen des HTTP-Dienstes ausführen. Dazu ist weder die Mithilfe eines Anwenders nötig noch muss sich der Angreifer am Netzwerk anmelden. Diese Voraussetzungen ergeben eine Wurm-taugliche Sicherheitslücke, die vorwiegend, aber nicht nur Server gefährden dürfte. Anfällig sind Windows 10 und 11 sowie die zugehörigen Server-Editionen.

Zwei kritische DirectX-Lücken (CVE-2022-21912, CVE-2022-21898) stecken im Grafikkern von Windows 10. Eine als kritisch eingestufte Schwachstelle (CVE-2022-21917) betrifft den optionalen HEVC-Codec und wird über ein Update aus dem Microsoft Store beseitigt. Alle drei Lücken sind geeignet, um Code einzuschleusen und auszuführen. Dazu genügt es im Fall der HEVC-Lücke bereits, wenn im Explorer ein Verzeichnis angezeigt wird, in dem eine speziell präparierte Bilddatei liegt.

Eine als kritisch ausgewiesene Schwachstelle im Active Directory (CVE-2022-21857) betrifft alle Windows-Versionen von 7 bis Server 2022. Ein im Netzwerk angemeldeter Benutzer könnte seine Berechtigungen über ihren eigentlichen Geltungsbereich hinaus ausdehnen. Das bedeutet, ein Angreifer, der bereits auf anderem Wege einen Fuß in die Tür (sprich: ins Netzwerk) gebracht hat, könnte sich weitere Teile des Netzwerks erschließen und sich dort etablieren. Deshalb stuft Microsoft die Lücke als kritisch ein.

Exchange Server
Im Exchange hat Microsoft drei Sicherheitslücken geschlossen, die es einem Angreifer mit gewissen Berechtigungen ermöglichen können, eingeschleusten Code auszuführen. Als kritisch gilt die Schwachstelle CVE-2022-21846 in Exchange Server 2013 bis 2019, die durch den US-Geheimdienst NSA an Microsoft gemeldet wurde – wie schon im letzten Jahr . Im Erfolgsfall könnte ein Angreifer die Kontrolle über den Exchange Server übernehmen.

Open Source Software
Microsoft liefert mit den Windows-Updates auch aktuelle Versionen der quelloffenen Bibliotheken curl und libarchive aus. Beide stammen nicht von Microsoft, werden jedoch in Windows 10 und 11 sowie Windows Server genutzt. Bei beiden wurden bereits im letzten Jahr Sicherheitslücken entdeckt, veröffentlicht und mit Updates beseitigt.

Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 35 Lücken schließen. Darunter sind auch zwei kritische Windows-Lücken (CVE-2022-21833, CVE-2022-21857).

Auch im Januar gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software . Der nächste turnusmäßige Update-Dienstag ist am 8. Februar 2022.


PC-WELT Marktplatz

2635342