Frank Ziemann

Beim Update-Dienstag im August hat Microsoft insgesamt 121 Schwachstellen beseitigt. Darunter sind 17 Sicherheitslücken, die Microsoft als kritisch einstuft, sowie zwei 0-Day-Lücken.

Vergrößern Patch Day August 2022

Beim Patch Day am 9. August hat Microsoft etliche Updates bereitgestellt, die 121 Schwachstellen beheben. Microsoft stuft 17 Schwachstellen als kritisch ein und weist den Rest bis auf zwei Lücken als hohes Risiko aus. Die Lücken betreffen unter anderem Windows, Office und nicht zuletzt Azure. Eine Windows-Schwachstelle (CVE-2022-34713) wird bereits für Angriffe genutzt. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.

Das jüngste Sicherheits-Update für Edge ist die Version 104.0.1293.47 vom 5. August. Sie basiert auf Chromium 104.0.5112.81 und beseitigt mehrere Chromium-Lücken. Google hatte am 2. August ein entsprechendes Sicherheits-Update für Chrome veröffentlicht. Microsoft schließt mit seinem Update außerdem drei Edge-spezifische Sicherheitslücken, von denen eine als hohes Risiko gilt.



Office-Lücken

In seinen Office-Produkten hat Microsoft im August vier Schwachstellen behoben. Zwei weist Microsoft als hohes Risiko aus. Sie sind geeignet, um Code einzuschleusen und auszuführen (RCE: Remote Code Execution). Eine davon (CVE-2022-33648) betrifft insbesondere Excel. Die DoS-Lücke (Denial of Service) CVE-2022-35742 in Outlook hat es in sich. Erhält ein Outlook-Nutzer eine entsprechend präparierte Mail, stürzt Outlook ab. Dazu muss diese Mail weder geöffnet noch in der Vorschau angezeigt werden. Startet man Outlook neu, stürzt es gleich wieder ab. Erst wenn diese Mail mit einem anderen Mail-Programm vom Server gelöscht wird oder das aktuelle Update eingespielt ist, kann Outlook wieder benutzt werden.



Schwachstellen in Windows

Die Mehrzahl der Schwachstellen, in diesem Monat 61, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.



Diagnose-Tool MSDT erneut unter Beschuss

Die Sicherheitslücke CVE-2022-34713 im Microsoft Windows Support Diagnostic Tool (MSDT) aller Windows-Versionen, einschließlich Server, wird laut Microsoft bereits für Angriffe genutzt. Ein Angreifer, der diese Schwachstelle ausnutzt, kann sich System-Berechtigungen verschaffen. Sie erinnert an die so genannte „Follina“-Schwachstelle (CVE-2022-30190) in MSDT, die Microsoft im Juni beseitigt hat. Laut Microsoft ist es jedoch eine Variante einer bereits vor zwei Jahren aufgedeckten, jedoch von Microsoft bisher ignorierten und öffentlich als „DogWalk“ bekannten MSDT-Lücke. Ein Benutzer müsste ein CAB-Archiv erhalten und öffnen, das eine Diagnosekonfigurationsdatei enthält, damit ein Angriff Erfolg hat.



Kritische Windows-Lücken

In Windows hat Microsoft 13 als kritisch eingestufte Schwachstellen beseitigt. Allein zehn davon betreffen betagte Tunnel-Protokolle: sechsmal das Secure Socket Tunneling Protocol (SSTP) sowie je zweimal das Point-to-Point Protocol (PPP) und das RAS Point-to-Point Tunneling Protocol (PPTP). Alle könnten ausgenutzt werden, um Code einzuschleusen und auszuführen.



Nur Windows 11 betrifft die RCE-Lücke CVE-2022-35804 in SMB-Client und -Server (SMB: Server Message Block – Dateifreigaben). Auf einem SMB-Server könnte ein Angreifer Code einschleusen und mit erhöhten Berechtigungen ausführen. In der Virtualisierunglösung Hyper-V könnte ein Angriff aus dem Gastsystem ausbrechen und Code auf den Host ausführen (CVE-2022-34696).



Sechs Schwachstellen in Exchange

Microsofts Mail-Server Exchange erhält in diesem Monat Updates gegen sechs Sicherheitslücken, von denen Microsoft drei als kritisch ausweist. Diese drei Schwachstellen (CVE-2022-21980/-24477/-24516) können es einem angemeldeten Angreifer ermöglichen, sich höhere Berechtigungen zu verschaffen und alle Mail-Konten auf dem Server zu übernehmen. Damit die bereitgestellten Updates die volle Wirkung entfalten können, müssen Administratoren den "Erweiterten Schutz" aktivieren. Auch CVE-2022-30134 ist eine EoP-Lücke (Elevation of Privilege), lässt allerdings nur das Lesen vorhandener Mails zu. Die Lücke war jedoch bereits vorab öffentlich bekannt und gilt daher als 0-Day-Lücke.



Erneute Patch-Flut für Azure

In seiner Cloud-Plattform Azure hat Microsoft in diesem Monat 45 Schwachstellen behoben, nachdem bereits im Juli 33 Lücken zu stopfen waren. Nur die RCE-Sicherheitslücke CVE-2022-33646 im Azure Batch Node Agent stuft Microsoft als kritisch ein.



Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 29 Lücken schließen. Darunter sind auch neun der oben genannten, als kritisch ausgewiesenen Sicherheitslücken sowie die 0-Day-Lücke CVE-2022-34713.



Auch im August gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software . Der nächste turnusmäßige Update-Dienstag ist am 13. September 2022.