2682731

Patch Day: Microsoft schließt zwei 0-Day-Lücken in Windows

14.09.2022 | 09:11 Uhr | Frank Ziemann

Beim Update-Dienstag im September hat Microsoft insgesamt 63 Schwachstellen beseitigt. Darunter sind fünf Sicherheitslücken, die Microsoft als kritisch einstuft, sowie zwei 0-Day-Lücken.

Beim Patch Day am 13. September hat Microsoft etliche Updates bereitgestellt, die 63 Schwachstellen beheben. Das sind nur etwa halb so viele wie im August . Microsoft stuft fünf Schwachstellen als kritisch ein und weist den Rest als hohes Risiko aus. Die Lücken betreffen unter anderem Windows, Office und Dynamics 365. Eine Windows-Schwachstelle (CVE-2022-37969) wird bereits für Angriffe genutzt. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf – stets auch mit Blick auf Admins, die Unternehmensnetzwerke betreuen.

Browser-Updates

Das jüngste Sicherheits-Update für Edge ist die Version 105.0.1343.27 vom 2. September. Sie basiert auf Chromium 105.0.5195.102 und beseitigt eine 0-Day-Lücke. Google hatte am 2. September ein entsprechendes Sicherheits-Update für Chrome veröffentlicht. Microsoft hat am 8. September ein Update auf Edge 105.0.1343.33 bereitgestellt, das jedoch keine weiteren Schwachstellen behebt.

Office-Lücken

In seinen Office-Produkten hat Microsoft im September sieben Schwachstellen behoben. Microsoft weist alle als hohes Risiko aus. Sie sind geeignet, um Code einzuschleusen und auszuführen (RCE: Remote Code Execution). Vier davon betreffen insbesondere Sharepoint. Diese Sharepoint-Lücken erinnern an eine ähnliche Schwachstelle, über die iranische Angreifer kürzlich albanische Behörden attackiert haben. Die fünf RCE-Lücken im ODBC-Treiber können genutzt werden, um Access-Nutzer mit präparierten MDB-Dateien anzugreifen.

Schwachstellen in Windows

Die Mehrzahl der Schwachstellen, in diesem Monat 48, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.

Windows unter Beschuss
Die Schwachstelle CVE-2022-37969 im Treiber des gemeinsamen Protokolldateisystems wird bereits für Angriffe ausgenutzt. In einem typischen Szenario öffnet ein angemeldeter Benutzer eine speziell präparierte Datei. Diese enthält schädlichen Code, der mit Systemrechten ausgeführt wird. Vier Sicherheitsunternehmen haben die Lücke an Microsoft gemeldet, was für etwas breiter angelegte Attacken spricht. Microsoft weist diese Schwachstelle als hohes Risiko aus.

Eine zweite als hohes Risiko eingestufte 0-Day-Lücke (CVE-2022-23960) betrifft nur Windows 11 für ARM-basierte Systeme. Das Datenleck steckt in ARM-CPUs und wird auch als „Spectre-BHB“ bezeichnet. Die Lücke war bereits vorab öffentlich bekannt, Angriffe darauf sind jedoch nicht zu beobachten.

Kritische Windows-Lücken
In Windows hat Microsoft drei als kritisch eingestufte Schwachstellen beseitigt. Zwei der Lücken (CVE-2022-34721, -34722) betreffen das Internet Key Exchange (IKE) Protokoll und könnten ausgenutzt werden, um Code einzuschleusen und auszuführen. Die dritte als kritisch ausgewiesene Lücke (CVE-2022-34718) hat ein externer Sicherheitsforscher im TCP/IP-Stack entdeckt. Ist der IPSec-Dienst aktiv, könnte ein Angreifer mittels präparierter IPv6-Pakete Code einschleusen und mit erhöhten Berechtigungen ausführen.

RCE-Lücken in Codecs
Im Video-Codec AV1 aus dem Microsoft Store hat der Hersteller eine Sicherheitslücke (CVE-2022-38019) behoben, ebenso in der Erweiterung für Raw-Fotodateien (CVE-2022-38011). Beide Lücken könnten Angreifer ausnutzen, um mit präparierten Dateien (Videos, Fotos) Code einzuschleusen und auszuführen. Die Updates werden, unabhängig von den übrigen Windows-Updates, automatisch über den Microsoft Store ausgeliefert.

Schwachstellen in Dynamics 365


In Dynamics 365 (Vor-Ort-Installation) hat Microsoft zwei Sicherheitslücken geschlossen, die der Hersteller als kritisch einstuft. Ein angemeldeter Benutzer könnte SQL-Injection-Angriffe starten und als db_owner beliebige SQL-Befehle in der Dynamics-Datenbank ausführen.

Extended Security Updates (ESU)

Unternehmen und Organisationen, die an Microsofts kostenpflichtigem ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 36 Lücken schließen. Darunter sind auch die drei oben genannten, als kritisch ausgewiesenen Sicherheitslücken in Windows sowie die 0-Day-Lücke CVE-2022-37969.

Auch im September gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software . Der nächste turnusmäßige Update-Dienstag ist am 11. Oktober 2022.

PC-WELT Marktplatz

2682731