Microsofts Patch Tuesday im April 2022

Das Patch Tuesday Release dieses Monats enthält Fixes für 117 CVEs – neun, die als kritisch eingestuft sind, und zwei Zero-Days, von denen eine bereits ausgenutzt und Microsoft von der National Security Agency gemeldet wurde.

Microsoft hat CVE-2022-24521 gepatcht, eine Schwachstelle bei der Erhöhung von Berechtigungen im Windows Common Log File System-Treiber, die einen CVSSv3-Score von 7,8 erhielt und als Zero Day ausgenutzt wurde. Es liegen zwar keine weiteren Informationen über die Ausnutzung von CVE-2022-24521 vor, aber wir wissen, dass CrowdStrike und die NSA an der Entdeckung dieser Schwachstelle beteiligt sind.

Darüber hinaus hat Microsoft die Sicherheitslücke CVE-2022-26904, eine Schwachstelle bei der Erhöhung von Berechtigungen im Benutzerprofildienst, geschlossen. Obwohl die Ausnutzung dieser Schwachstelle erfordert, dass ein Angreifer seinen Angriff perfekt timen muss, um eine Race Condition zu gewinnen, hat Microsoft sie als „Exploitation More Likely“ eingestuft.

Zu beachten ist auch, dass die Versionen 4.5.2, 4.6 und 4.6.1 des .NET Framework von Microsoft und Windows 10 Version 20H2 bald das Ende des Supports erreichen werden. Den Nutzern wird dringend empfohlen, ihre Systeme zu aktualisieren, um sicherzustellen, dass sie weiterhin Updates erhalten.

Microsoft behebt in seiner Patch Tuesday-Veröffentlichung vom April 2022 117 CVEs, darunter zwei Zero-Day-Schwachstellen, von denen eine in freier Wildbahn ausgenutzt und von der National Security Agency an Microsoft gemeldet wurde.

Das Update dieses Monats enthält Patches für:

.NET Framework

Active Directory-Domänendienste

Azure SDK

Azure-Standortwiederherstellung

LDAP – Leichtgewichtiges Verzeichniszugriffsprotokoll

Microsoft Bluetooth-Treiber

Microsoft Dynamics

Microsoft Edge (Chromium-basiert)

Microsoft Grafik-Komponente

Microsoft Local Security Authority Server (lsasrv)

Microsoft Office Excel

Microsoft Office SharePoint

Microsoft Windows ALPC

Microsoft Windows Codecs-Bibliothek

Microsoft Windows Media Foundation

Macht BI

Rolle: DNS-Server

Rolle: Windows Hyper-V

Skype für Unternehmen

Visual Studio

Visual Studio-Code

Windows-Zusatzfunktionstreiber für WinSock

Windows-App-Store

Windows AppX-Paketmanager

Windows-Cluster-Client-Ausfallsicherung

Windows Cluster Freigegebenes Volumen (CSV)

Windows Common Log File System-Treiber

Windows-Verteidiger

Windows DWM-Kernbibliothek

Windows Endpunkt-Konfigurationsmanager

Windows Fax-Formular erstellen

Windows Feedback-Hub

Windows Datei-Explorer

Windows Dateiserver

Windows-Installationsprogramm

Windows iSCSI-Ziel-Dienst

Windows Kerberos

Windows-Kernel

Windows Lokale Sicherheitsbehörde Subsystemdienst

Windows-Medien

Windows Netzwerk-Dateisystem

Windows PowerShell

Windows Druckspooler-Komponenten

Windows RDP

Windows Remote Procedure Call-Laufzeitumgebung

Windows Schannel

Windows SMB

Windows-Telefonie-Server

Windows Upgrade-Assistent

Windows-Benutzerprofildienst

Windows Win32K

Windows Arbeitsordnerdienst

YARP Reverse-Proxy

Anzahl nach Auswirkung

39,3 % der in diesem Monat gepatchten Sicherheitslücken betrafen Schwachstellen im Zusammenhang mit der Erhöhung von Berechtigungen (EoP), gefolgt von Schwachstellen im Zusammenhang mit Remotecodeausführung (RCE) mit 39,3 %.

WICHTIG

CVE-2022-24521 und CVE-2022-24481 | Windows Common Log File System-Treiber Sicherheitsanfälligkeiten durch Erhöhung der Berechtigung (Elevation of Privilege)

CVE-2022-24521 ist eine EoP-Schwachstelle im Windows Common Log File System (CLFS)-Treiber für Microsoft Windows. EoP-Schwachstellen wie diese werden nach der Authentifizierung ausgenutzt, nachdem ein Angreifer erfolgreich auf ein anfälliges System zugegriffen hat, um höhere Berechtigungen zu erhalten. Nach Angaben von Microsoft wurde diese Schwachstelle als Zero-Day-Schwachstelle ausgenutzt, obwohl uns keine weiteren Details über ihre Ausnutzung vorliegen. Wir wissen jedoch, dass die Schwachstelle von der National Security Agency zusammen mit Forschern von CrowdStrike an Microsoft gemeldet wurde. Unternehmen sollten sicherstellen, dass sie die verfügbaren Patches so schnell wie möglich anwenden. CVE-2022-24481 ist ein weiterer EoP im CLFS-Treiber, der die gleiche CVSSv3-Bewertung von 7,8 erhielt und laut dem Exploitability Index von Microsoft als „Exploitation More Likely“ eingestuft wurde. Es handelt sich jedoch nicht um einen Zero-Day.

WICHTIG

CVE-2022-26904 | Windows User Profile Service Sicherheitslücke durch Erhöhung der Privilegien

CVE-2022-26904 ist eine EoP-Schwachstelle im Windows-Benutzerprofildienst. Sie erhielt einen CVSSv3-Score von 7.0, was ihren Schweregrad als wichtig einstuft. Die Angriffskomplexität für diese Schwachstelle wird als hoch eingestuft, da sie „einen Angreifer dazu zwingt, eine Race Condition zu gewinnen“. Trotz der höheren Komplexität wird sie immer noch als „Exploitation More Likely“ eingestuft. Dies ist der zweite von zwei Zero-Days in diesem Monat, da Details über diese Schwachstelle öffentlich bekannt wurden, bevor ein Patch zur Verfügung gestellt wurde.

KRITISCH

CVE-2022-24491 | Windows-Netzwerk-Dateisystem-Schwachstelle (Remote Code Execution)

CVE-2022-24491 ist eine kritische RCE-Schwachstelle im Windows Network File System (NFS), die einen CVSSv3-Score von 9,8 und die Bewertung „Exploitation More Likely“ erhielt. Ein nicht authentifizierter, entfernter Angreifer kann diese Schwachstelle ausnutzen, indem er speziell gestaltete NFS-Protokoll-Netzwerknachrichten an ein anfälliges System sendet. Nur Systeme, bei denen die NFS-Rolle aktiviert ist, sind anfällig für eine Ausnutzung der Schwachstelle; Unternehmen sollten den Patch jedoch trotzdem auf alle Systeme anwenden, um sicherzustellen, dass sie geschützt sind.

KRITISCH

CVE-2022-26809 | Remote Procedure Call Runtime Remote Code Execution-Schwachstelle

CVE-2022-26809 ist eine kritische RCE-Schwachstelle in der Remote Procedure Call (RPC)-Laufzeitumgebung. Sie erhielt einen CVSSv3-Score von 9.8. Ein nicht authentifizierter, entfernter Angreifer könnte diese Sicherheitslücke ausnutzen, indem er „einen speziell gestalteten RPC-Aufruf an einen RPC-Host“ sendet. Wenn ein Patch jedoch nicht möglich ist, empfiehlt Microsoft, den TCP-Port 445 auf der Perimeter-Firewall zu blockieren, um Versuche, diese Schwachstelle auszunutzen, zu vereiteln. Trotz dieser Abhilfemaßnahmen können Systeme „immer noch anfällig für Angriffe aus dem Unternehmensumfeld sein“.

WICHTIG

CVE-2022-26817 und CVE-2022-26814 | Windows DNS Server Sicherheitslücken bei der Remotecodeausführung

CVE-2022-26817 und CVE-2022-26814 sind RCE-Schwachstellen in Windows DNS Server, die Active Directory Domain Services betreffen, die beide eine CVSSv3-Punktzahl von 6,6 erhielten und von Yuki Chen mit Cyber KunLun entdeckt wurden. Die Ausnutzung dieser Sicherheitslücke wird als „weniger wahrscheinlich“ eingestuft, was mit der höheren Angriffskomplexität und den erforderlichen Berechtigungen zusammenhängen könnte. Um diese Schwachstelle erfolgreich auszunutzen, muss ein Angreifer im Zielnetzwerk, der über die Berechtigung zur Abfrage des Domain Name Service verfügt, eine Wettlaufbedingung gewinnen. Nur wenn er diese Schwachstelle zeitlich perfekt ausnutzt, kann er RCE erreichen. Patches wurden für unterstützte Versionen für Windows Server und Windows Server Core-Installationen veröffentlicht.

WICHTIG

15 Sicherheitsanfälligkeiten für die Erhöhung von Berechtigungen in Windows Print Spooler

Diesen Monat hat Microsoft 15 EoP-Schwachstellen in Print Spooler-Komponenten gepatcht, die alle einen CVSSv3-Score von 7,8 erhielten. Drei der Schwachstellen wurden von George Hughey vom Microsoft Security Response Center Vulnerabilities and Mitigations aufgedeckt, die anderen 12 wurden von Microsoft Offensive Research and Security Engineering aufgedeckt. Obwohl Microsoft diese Schwachstellen als „Exploitation Less Likely“ einstuft, haben Angreifer in der Vergangenheit bereits EoP-Schwachstellen in Print Spooler ausgenutzt.

CVE-2022-26803

CVE-2022-26786

CVE-2022-26787

CVE-2022-26789

CVE-2022-26790

CVE-2022-26791

CVE-2022-26802

CVE-2022-26792

CVE-2022-26797

CVE-2022-26795

CVE-2022-26796

CVE-2022-26798

CVE-2022-26801

CVE-2022-26793

CVE-2022-26794

Bevorstehendes Ende des Supports

In den kommenden Wochen werden Versionen von .NET Framework und Windows 10 keine Updates und keinen Support mehr erhalten. Am 26. April wird der Support für .NET Framework 4.5.2, 4.6 oder 4.6.1 eingestellt, da sie den weniger sicheren Secure Hash Algorithm 1 (SHA-1) verwenden. Am 10. Mai erreicht Windows 10, Version 20H2, das Ende der Unterstützung. Benutzer werden dringend gebeten, auf neuere Versionen zu aktualisieren, um sicherzustellen, dass sie weiterhin wichtige Sicherheitsupdates erhalten.

Tenable-Lösungen

Benutzer können Scans erstellen, die sich speziell auf unsere Patch Tuesday-Plugins konzentrieren. Setzen Sie in einem neuen erweiterten Scan auf der Registerkarte Plugins einen erweiterten Filter für Plugin-Name enthält April 2022.

Wenn dieser Filter gesetzt ist, klicken Sie auf die Plugin-Familien auf der linken Seite und aktivieren Sie jedes Plugin, das auf der rechten Seite erscheint. Hinweis: Wenn in den Familien auf der linken Seite „Aktiviert“ steht, sind alle Plugins dieser Familie aktiviert. Deaktivieren Sie die gesamte Familie, bevor Sie die einzelnen Plugins für diesen Scan auswählen. Hier ist ein Beispiel von Tenable.io:

Eine Liste aller Plugins, die für das April 2022 Patch Tuesday Update von Tenable veröffentlicht wurden, finden Sie hier. Wie immer empfehlen wir, Systeme so schnell wie möglich zu patchen und Ihre Umgebung regelmäßig zu scannen, um die Systeme zu identifizieren, die noch gepatcht werden müssen.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago