DogWalk und andere Schwachstellen

Microsoft hat Patches für mehr als 140 Schwachstellen veröffentlicht. Einige dieser Sicherheitslücken sollten umgehend geschlossen werden.

Im Rahmen des August-Patch-Days hat Microsoft mehr als hundert Sicherheitslücken geschlossen. Einige dieser Schwachstellen erfordern die besondere Aufmerksamkeit von Cybersicherheitsbeauftragten in Unternehmen. 17 dieser Schwachstellen, zwei davon Zero Days, wurden als kritisch eingestuft. Mindestens eine Sicherheitslücke wurde bereits aktiv ausgenutzt; eine umgehende Implementierung des Patches ist daher ratsam. Auch die US-Behörde für Cyber- und Infrastruktursicherheit hat bereits eine Empfehlung in Bezug auf das neue Microsoft-Update ausgesprochen.

DogWalk (alias CVE-2022-34713) – RCE-Schwachstelle im MSDT

Die gefährlichste der neu geschlossenen Sicherheitslücken ist CVE-2022-34713. Sie gehört zum Typ RCE und ermöglicht potenziell eine Remote-Code-Ausführung auf dem betroffenen Gerät. CVE-2022-34713, genannt DogWalk, ist eine Sicherheitslücke im Microsoft Windows Support Diagnostic Tool (MSDT), ebenso wie Follina, die im Mai dieses Jahres für Aufsehen sorgte.

Das Problem liegt im Umgang des Systems mit Cabinet-Archiven (.cab). Um die Schwachstelle auszunutzen, müssen Angreifer einen Nutzer zum Öffnen einer schädlichen Datei bewegen, die das .diagcab-Archiv im Windows-Startordner speichert, damit ihr Inhalt beim nächsten Neustart des Computers ausgeführt werden kann.

Ursprünglich wurde DogWalk bereits vor zwei Jahren entdeckt. Damals schenkten die Systementwickler diesem Problem jedoch aus unbekannten Gründen nicht genug Aufmerksamkeit. Jetzt ist die Schwachstelle behoben, aber Microsoft hat ihren aktiven Exploit bereits bestätigt.

Weitere Schwachstellen

Die zweite Zero-Day-Schwachstelle, die am vergangenen Dienstag geschlossen wurde und in Microsoft Exchange vorkommt, ist CVE-2022-30134. Informationen über diese Sicherheitslücke wurden bereits veröffentlicht, noch bevor Microsoft einen Patch bereitstellen konnte; aktiv ausgenutzt wurde die Schwachstelle bislang noch nicht. Sollte einem Angreifer der Exploit von CVE-2022-30134 gelingen, ist er theoretisch in der Lage, die E-Mail-Korrespondenz des Opfers mitzulesen. Hierbei handelt es sich übrigens nicht um die einzige Schwachstelle in Exchange, die durch den neuen Patch behoben wurde. Der Fix schließt auch die Sicherheitslücken CVE-2022-24516, CVE-2022-21980 und CVE-2022-24477, die es Angreifern ermöglichen, ihre Rechte zu erweitern.

In Bezug auf die CVSS-Bewertung sind die Schwachstellen CVE-2022-30133 und CVE-2022-35744 unbestrittene Anführer. Beide sind im Point-to-Point Protocol (PPP) aufgelistet und ermöglichen es Angreifern, Anfragen an den Remote Access Server zu senden, was zur Ausführung von Schadcode auf dem Rechner führen kann. Die Schwachstellen wurden auf der CVSS-Skala mit 9.8 von 10 möglichen Punkten eingestuft.

Für Nutzer, die die bereitgestellten Patches aus bestimmten Gründen nicht sofort installieren können, empfiehlt Microsoft, den Port 1723 zu schließen (Sicherheitslücken können nur über diesen Port ausgenutzt werden). Beachten Sie jedoch, dass dadurch die Stabilität der Kommunikation in Ihrem Netzwerk gestört werden kann.

So können Sie sich schützen

Wir empfehlen, die neuen Updates von Microsoft umgehend zu installieren. Vergessen Sie dabei nicht, alle für Ihre Infrastruktur relevanten Informationen im Abschnitt „FAQs, Risikominderungen und Problemumgehungen“ des Leitfadens zu prüfen.

Darüber hinaus sollten alle Unternehmenscomputer mit Internetzugang (egal ob Workstations oder Server) mit einer zuverlässigen Sicherheitslösung ausgestattet werden, die vor dem Exploit noch unentdeckter Schwachstellen schützen kann.

Tipps