Beim Update-Dienstag im Mai hat Microsoft insgesamt 74 Schwachstellen beseitigt. Darunter sind sieben Sicherheitslücken, die Microsoft als kritisch einstuft, sowie drei 0-Day-Lücken.
Der Patch Day am 10. Mai hat etliche Updates gebracht, die 74 Schwachstellen beheben. Das sind deutlich weniger als
im Vormonat
. Microsoft stuft sieben Schwachstellen als kritisch ein und weist den Rest bis auf eine Lücke als hohes Risiko aus. Die Lücken betreffen unter anderem Windows, Office, Hyper-V, Exchange und Azure. Eine Schwachstelle (CVE-2022-26925) wird bereits für Angriffe genutzt, zwei weitere waren bereits vorab öffentlich bekannt. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im
Leitfaden für Sicherheitsupdates
. Deutlich übersichtlicher bereitet Dustin Childs im
Blog von Trend Micro ZDI
das Thema Update-Dienstag auf.
Browser
Das jüngste Sicherheits-Update für Edge (Chromium) ist die Version 101.0.1210.32, die bereits seit dem 28. April verfügbar ist. Sie basiert wie das jüngere Bug-Fix-Update 101.0.1210.39 vom 5. Mai auf Chromium 101.0.4951.54 und beseitigt mehrere Chromium-Lücken. Google hat am 10. Mai ein neues
Update auf Chrome 101.0.4951.64
veröffentlicht, das weitere 13 Schwachstellen behebt. Ein entsprechendes Edge-Update steht noch aus, dürfte jedoch noch in dieser Woche folgen.
Office
In seiner Office-Produkten hat Microsoft im Mai vier Schwachstellen behoben. Microsoft weist alle als hohes Risiko aus. Drei der Lücken sind geeignet, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen (RCE: Remote Code Execution). Eine dieser Schwachstellen (CVE-2022-29108) betrifft den Sharepoint Server. Die beiden anderen RCE-Lücken (CVE-2022-29109, CVE-2022-29110) stecken in Excel.
Windows
Die Mehrzahl der Schwachstellen, in diesem Monat 62, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.
Update-Ende für Windows 10
Für diese Windows-10-Versionen gibt es nach diesem Datum keine weiteren Updates:
|
Version |
Home, Pro |
Enterprise, Education |
|---|---|---|
|
1909 |
bereits abgelaufen |
10.05.2022 |
|
2004 |
bereits abgelaufen |
bereits abgelaufen |
|
20H2 |
10.05.2022 |
09.05.2023 |
|
21H1 |
13.12.2022 |
13.12.2022 |
|
21H2 |
13.06.2023 |
11.06.2024 |
Ausführlicher haben wir das Thema
in diesem Beitrag
dargestellt.
Netzwerk-Betreuer sollten insbesondere die Spoofing-Lücke CVE-2022-26925 in Windows LSA (Local Security Authority Subsystem) beachten. Ein Angreifer, der diese Lücke ausnutzt, kann einen Domänen-Controller dazu bringen, sich mittels NTLM bei einem anderen Server zu authentifizieren. Der Angreifer sitzt dabei virtuell zwischen beiden und liest mit („Man-in-the-Middle“). Diese Schwachstelle wird bereits für Angriffe genutzt.
Wenn Sie in Ihrem Netzwerk auch Rechner mit anderen Betriebssystemen einsetzen, etwa Linux oder Unix, ist auf Windows-Maschinen womöglich der Dienst für das Network File System (NFS) aktiviert. Dann sollten Sie den Patch gegen die als kritisch eingestufte Schwachstelle CVE-2022-26937 umgehend prüfen und ausrollen. Die Lücke hat einen CVSS-Score von 9.8 und ermöglicht es einem nicht im Netzwerk angemeldeten Angreifer, Code im Kontext des NFS-Dienstes auszuführen. Laut Microsoft ist NFS v4.1 nicht anfällig. Daher könnte auch ein Upgrade von NFS v2 oder v3 auf v4.1 sinnvoll sein.
Zwei Schwachstellen in der Windows-Implementierung des Point-to-Point Tunneling Protocol (PPTP) könnten einen Angreifer in Lage versetzen, eingeschleusten Code auszuführen (RCE) und sind daher als kritisch eingestuft. Allein zehn RCE-Lücken hat Microsoft in LDAP (Lightweight Directory Access Protocol) geschlossen – und eine im Windows Fax-Dienst.
Exchange Server
In Exchange Server 2013 bis 2019 hat Microsoft die Sicherheitslücke CVE-2022-21978 beseitigt. Ein Benutzer, der auf dem Exchange Server hohe Berechtigungen hat (etwa Admin), kann sich zum Domänen-Administrator aufschwingen, wenn er diese Lücke nutzt. Um das Update erfolgreich einzuspielen, gibt Microsoft weitere Schritte vor, die Sie je nach Exchange-Version vor oder nach der Installation des Updates in der angegebenen Reihenfolge ausführen sollten.
Insight Software: Magnitude Simba Amazon Redshift ODBC-Treiber
Die dritte bereits vorab öffentlich bekannte Schwachstelle betrifft etliche Microsoft-Dienste. Die ursächliche Lücke steckt nicht in einem Microsoft-Produkt, sondern in einem Datenbanktreiber, der Dienste wie Azure Data Factory mit Amazon Redshift verbindet. Der Patch gegen die als kritisch eingestufte Schwachstelle CVE-2022-29972 ist bereits vor diesem Update-Dienstag erschienen. Microsoft hat einen
Blog-Beitrag
und eine
Sicherheitsempfehlung
(die erste überhaupt in diesem Jahr) zu dieser Sicherheitslücke veröffentlicht.
Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 28 Lücken schließen. Darunter sind auch vier als kritisch ausgewiesene Sicherheitslücken wie etwa die oben erwähnten PPTP-Lücken und die NFS-Schwachstelle.
Auch im Mai gibt es wieder ein neues
Windows-Tool zum Entfernen bösartiger Software.
Der nächste turnusmäßige Update-Dienstag ist am 14. Juni 2022.