Microsoft hat dieses Jahr mit einer massiven Behebung von Schwachstellen begonnen – es wurde nicht nur das gewöhnliche Dienstag-Patchday-Update veröffentlicht, das diesmal insgesamt 96 Sicherheitslücken schließt, sondern auch eine beträchtliche Anzahl an Patches für den Microsoft Edge Browser (die überwiegend mit der Chromium-Engine zusammenhängen). Zusammengerechnet sind das seit Jahresbeginn mehr als 120 behobene Schwachstellen. Das ist ein triftiger Grund, um das Betriebssystem und einige Microsoft-Anwendungen sofort zu aktualisieren.
Die schwerwiegendsten Sicherheitslücken
Neun der Schwachstellen, die diesen Dienstag über das Sicherheitsupdate behoben wurden, gelten als gefährlich und haben eine CVSS-Bewertung erhalten. Darunter zwei Schwachstellen, die Rechteerweiterung ermöglichen: CVE-2022-21833 betrifft IDE-Laufwerke in der Virtuellen Maschine und CVE-2022-21857 die Active Directory Domain Services (AD DS). Die Ausnutzung der restlichen sieben Sicherheitslücken kann den Angreifern die Fähigkeit verleihen Programmcode aus der Ferne auszuführen:
- CVE-2022-21917 in HEVC Video-Erweiterungen
- CVE-2022-21912 und CVE-2022-21898 im DirectX-Grafikkernel
- CVE-2022-21846 im Microsoft Exchange Server
- CVE-2022-21840 im Microsoft Office
- CVE-2021-22947 in der Open-Source-Anwendung Curl
- CVE-2022-21907 im HTTP Protocol Stack
Die letzte scheint die unangenehmste Schwachstelle zu sein. Ein Fehler im HTTP Protocol Stack ermöglicht es theoretisch Angreifern nicht nur willkürlichen Code auf dem entsprechenden Computer auszuführen, sondern auch den Angriff auf das ganze lokale Netzwerk auszubreiten (nach der Terminologie von Microsoft, wird die Schwachstelle als wurmartig bezeichnet, d. h., sie kann dafür ausgenutzt werden, um einen – Computerwurm zu erstellen). Windows 10, Windows 11, Windows Server 2022 und Windows Server 2019 sind von dieser Schwachstelle betroffen. Allerdings ist die Schwachstelle laut Microsoft nur für Benutzer von Windows Server 2019 und Windows 10 Version 1809 gefährlich, wenn sie den HTTP Trailer Support über den EnableTrailerSupport-Schlüssel im Registry aktiviert haben.
Experten haben auch ihre Bedenken über eine weitere, schwerwiegende Schwachstelle in Microsoft Exchange Server geäußert — CVE-2022-21846 (die nebenbei bemerkt nicht der einzige Exchange-Bug auf der Liste ist, sondern nur der gefährlichste). Die Bedenken sind gut nachvollziehbar – niemand möchte, dass sich die massiven Exploits der Exchange-Schwachstellen von letztem Jahr wiederholen.
Schwachstellen mit Konzeptnachweis
Einige der behobenen Schwachstellen waren in der Cybersicherheit-Community bereits bekannt. Es wurden sogar schon Konzeptnachweise (Proofs of Concept, PoC) dafür veröffentlicht:
- CVE-2022-21836 – Sicherheitsanfälligkeit beim Spoofing von Windows-Zertifikaten
- CVE-2022-21839 – Windows Event Tracing Discretionary Access Control List Denial of Service-Schwachstelle
- CVE-2022-21919 – Sicherheitsanfälligkeit durch Erhöhung der Berechtigungen im Windows-Benutzerprofildienst (Rechteerweiterung).
Bis jetzt haben wir noch keine echten Angriffe beobachtet, bei denen diese Schwachstellen ausgenutzt werden. Allerdings sind die Konzeptnachweise inzwischen öffentlich verfügbar, also kann der Exploit dieser Sicherheitslücken jederzeit beginnen.
So können Sie sich schützen
Aktualisieren Sie umgehend Ihr Betriebssystem (und andere Programme von Microsoft). Allgemein ist es empfehlenswert, das Installieren der Patches für wichtige Software niemals aufzuschieben.
Außerdem sollten alle Computer und Server, die mit dem Internet verbunden sind, mit einer zuverlässigen Sicherheitslösung ausgestattet sein, die nicht nur dazu in der Lage ist, das Ausnutzen von bekannten Schwachstellen zu verhindern, sondern auch die Angriffe mit bisher unbekannten Exploits erkennen und blockieren kann.