Aktiv ausgenutzte Schwachstellen in Windows

Microsoft hat Patches für mehrere Dutzend Sicherheitslücken veröffentlicht, von denen eine bereits aktiv von Cyberkriminellen ausgenutzt wird.

Am jüngsten Patch Tuesday (10. Mai) hat Microsoft Updates für 74 Sicherheitslücken veröffentlicht. Mindestens eine davon wird bereits aktiv von Angreifern ausgenutzt. Patches sollten daher schnellstmöglich installiert werden.

CVE-2022-26925 – die gefährlichste aller entdeckten Schwachstellen

Die scheinbar gefährlichste Schwachstelle im Rahmen dieses Updates, CVE-2022-26925, betrifft die Komponente Windows Local Security Authority. Mit einer Einstufung von 8,1 auf der CVSS-Skala wird ihr Gefährlichkeitsgrad jedoch als vergleichsweise gering eingestuft. Vertreter von Microsoft sind allerdings der Meinung, dass der Schweregrad der Sicherheitslücke auf 9.8 steigen könnte, wenn diese Schwachstelle in NTLM-Relay-Angriffen auf Active Directory-Zertifikatsdienste verwendet wird. Der Grund für den erhöhten Schweregrad liegt darin, dass CVE-2022-26925 in einem solchen Szenario einem Angreifer ermöglichen könnte, sich auf einem Domain Controller zu authentifizieren.

Die Schwachstelle kann alle Windows-Betriebssysteme ab Windows 7 (Windows Server 2008 für Serversysteme) und neuer betreffen. Auf die Details des Exploits dieser Schwachstelle ging Microsoft bislang nicht ein; der Beschreibung des Problems nach zu urteilen, werden Exploits für CVE-2022-2692 bereits durch unbekannte Angreifer ausgenutzt.

Der Fix erkennt und verweigert anonyme Verbindungsversuche mit dem Local Security Authority Remote Protocol. Den offiziellen FAQ zufolge kann sich die Installation dieses Updates für Windows Server 2008 SP2 jedoch auf die Backup-Software auswirken.

Weitere Schwachstellen

Neben CVE-2022-26925 behebt das neueste Update weitere Sicherheitslücken, die als „kritisch“ eingestuft wurden. Darunter befinden sich die RCE-Schwachstelle CVE-2022-26937 im Windows Network File System (NFS) sowie CVE-2022-22012 und CVE-2022-29130 – zwei RCE-Schwachstellen im LDAP-Dienst.

Zum Zeitpunkt der Veröffentlichung des Patches waren bereits zwei weitere Schwachstellen öffentlich bekannt: CVE-2022-29972 – ein Bug im Magnitude Simba Amazon Redshift-Treiber von Insight Software und CVE-2022-22713 – eine DoS-Schwachstelle in Windows Hyper-V. Bisher wurden jedoch keine Exploit-Versuche entdeckt.

 

So können Sie sich schützen

In erster Linie sollten Sie die neuesten Updates von Microsoft installieren. Sollte dies aus bestimmten Gründen nicht möglich sein, lesen Sie den Abschnitt „FAQs, Mitigations, and Workarounds“ des offiziellen Microsoft-Guides für Sicherheitsupdates. Im besten Fall kann eine der dort beschriebenen Methoden zum Schutz vor Schwachstellen eingesetzt werden, die für Ihre Infrastruktur relevant sind.

Wir empfehlen, jedes mit dem Internet verbundene Gerät mit einer zuverlässigen Sicherheitslösung zu schützen, die den Exploit bisher unbekannter Schwachstellen erkennen kann.

Tipps