Das Patch Tuesday Release dieses Monats enthält Fixes für 117 CVEs – neun, die als kritisch eingestuft sind, und zwei Zero-Days, von denen eine bereits ausgenutzt und Microsoft von der National Security Agency gemeldet wurde.
Microsoft hat CVE-2022-24521 gepatcht, eine Schwachstelle bei der Erhöhung von Berechtigungen im Windows Common Log File System-Treiber, die einen CVSSv3-Score von 7,8 erhielt und als Zero Day ausgenutzt wurde. Es liegen zwar keine weiteren Informationen über die Ausnutzung von CVE-2022-24521 vor, aber wir wissen, dass CrowdStrike und die NSA an der Entdeckung dieser Schwachstelle beteiligt sind.
Darüber hinaus hat Microsoft die Sicherheitslücke CVE-2022-26904, eine Schwachstelle bei der Erhöhung von Berechtigungen im Benutzerprofildienst, geschlossen. Obwohl die Ausnutzung dieser Schwachstelle erfordert, dass ein Angreifer seinen Angriff perfekt timen muss, um eine Race Condition zu gewinnen, hat Microsoft sie als „Exploitation More Likely“ eingestuft.
Zu beachten ist auch, dass die Versionen 4.5.2, 4.6 und 4.6.1 des .NET Framework von Microsoft und Windows 10 Version 20H2 bald das Ende des Supports erreichen werden. Den Nutzern wird dringend empfohlen, ihre Systeme zu aktualisieren, um sicherzustellen, dass sie weiterhin Updates erhalten.
Microsoft behebt in seiner Patch Tuesday-Veröffentlichung vom April 2022 117 CVEs, darunter zwei Zero-Day-Schwachstellen, von denen eine in freier Wildbahn ausgenutzt und von der National Security Agency an Microsoft gemeldet wurde.
Das Update dieses Monats enthält Patches für:
.NET Framework
Active Directory-Domänendienste
Azure SDK
Azure-Standortwiederherstellung
LDAP – Leichtgewichtiges Verzeichniszugriffsprotokoll
Microsoft Bluetooth-Treiber
Microsoft Dynamics
Microsoft Edge (Chromium-basiert)
Microsoft Grafik-Komponente
Microsoft Local Security Authority Server (lsasrv)
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft Windows ALPC
Microsoft Windows Codecs-Bibliothek
Microsoft Windows Media Foundation
Macht BI
Rolle: DNS-Server
Rolle: Windows Hyper-V
Skype für Unternehmen
Visual Studio
Visual Studio-Code
Windows-Zusatzfunktionstreiber für WinSock
Windows-App-Store
Windows AppX-Paketmanager
Windows-Cluster-Client-Ausfallsicherung
Windows Cluster Freigegebenes Volumen (CSV)
Windows Common Log File System-Treiber
Windows-Verteidiger
Windows DWM-Kernbibliothek
Windows Endpunkt-Konfigurationsmanager
Windows Fax-Formular erstellen
Windows Feedback-Hub
Windows Datei-Explorer
Windows Dateiserver
Windows-Installationsprogramm
Windows iSCSI-Ziel-Dienst
Windows Kerberos
Windows-Kernel
Windows Lokale Sicherheitsbehörde Subsystemdienst
Windows-Medien
Windows Netzwerk-Dateisystem
Windows PowerShell
Windows Druckspooler-Komponenten
Windows RDP
Windows Remote Procedure Call-Laufzeitumgebung
Windows Schannel
Windows SMB
Windows-Telefonie-Server
Windows Upgrade-Assistent
Windows-Benutzerprofildienst
Windows Win32K
Windows Arbeitsordnerdienst
YARP Reverse-Proxy
Anzahl nach Auswirkung
39,3 % der in diesem Monat gepatchten Sicherheitslücken betrafen Schwachstellen im Zusammenhang mit der Erhöhung von Berechtigungen (EoP), gefolgt von Schwachstellen im Zusammenhang mit Remotecodeausführung (RCE) mit 39,3 %.
WICHTIG
CVE-2022-24521 und CVE-2022-24481 | Windows Common Log File System-Treiber Sicherheitsanfälligkeiten durch Erhöhung der Berechtigung (Elevation of Privilege)
CVE-2022-24521 ist eine EoP-Schwachstelle im Windows Common Log File System (CLFS)-Treiber für Microsoft Windows. EoP-Schwachstellen wie diese werden nach der Authentifizierung ausgenutzt, nachdem ein Angreifer erfolgreich auf ein anfälliges System zugegriffen hat, um höhere Berechtigungen zu erhalten. Nach Angaben von Microsoft wurde diese Schwachstelle als Zero-Day-Schwachstelle ausgenutzt, obwohl uns keine weiteren Details über ihre Ausnutzung vorliegen. Wir wissen jedoch, dass die Schwachstelle von der National Security Agency zusammen mit Forschern von CrowdStrike an Microsoft gemeldet wurde. Unternehmen sollten sicherstellen, dass sie die verfügbaren Patches so schnell wie möglich anwenden. CVE-2022-24481 ist ein weiterer EoP im CLFS-Treiber, der die gleiche CVSSv3-Bewertung von 7,8 erhielt und laut dem Exploitability Index von Microsoft als „Exploitation More Likely“ eingestuft wurde. Es handelt sich jedoch nicht um einen Zero-Day.
WICHTIG
CVE-2022-26904 | Windows User Profile Service Sicherheitslücke durch Erhöhung der Privilegien
CVE-2022-26904 ist eine EoP-Schwachstelle im Windows-Benutzerprofildienst. Sie erhielt einen CVSSv3-Score von 7.0, was ihren Schweregrad als wichtig einstuft. Die Angriffskomplexität für diese Schwachstelle wird als hoch eingestuft, da sie „einen Angreifer dazu zwingt, eine Race Condition zu gewinnen“. Trotz der höheren Komplexität wird sie immer noch als „Exploitation More Likely“ eingestuft. Dies ist der zweite von zwei Zero-Days in diesem Monat, da Details über diese Schwachstelle öffentlich bekannt wurden, bevor ein Patch zur Verfügung gestellt wurde.
KRITISCH
CVE-2022-24491 | Windows-Netzwerk-Dateisystem-Schwachstelle (Remote Code Execution)
CVE-2022-24491 ist eine kritische RCE-Schwachstelle im Windows Network File System (NFS), die einen CVSSv3-Score von 9,8 und die Bewertung „Exploitation More Likely“ erhielt. Ein nicht authentifizierter, entfernter Angreifer kann diese Schwachstelle ausnutzen, indem er speziell gestaltete NFS-Protokoll-Netzwerknachrichten an ein anfälliges System sendet. Nur Systeme, bei denen die NFS-Rolle aktiviert ist, sind anfällig für eine Ausnutzung der Schwachstelle; Unternehmen sollten den Patch jedoch trotzdem auf alle Systeme anwenden, um sicherzustellen, dass sie geschützt sind.
KRITISCH
CVE-2022-26809 | Remote Procedure Call Runtime Remote Code Execution-Schwachstelle
CVE-2022-26809 ist eine kritische RCE-Schwachstelle in der Remote Procedure Call (RPC)-Laufzeitumgebung. Sie erhielt einen CVSSv3-Score von 9.8. Ein nicht authentifizierter, entfernter Angreifer könnte diese Sicherheitslücke ausnutzen, indem er „einen speziell gestalteten RPC-Aufruf an einen RPC-Host“ sendet. Wenn ein Patch jedoch nicht möglich ist, empfiehlt Microsoft, den TCP-Port 445 auf der Perimeter-Firewall zu blockieren, um Versuche, diese Schwachstelle auszunutzen, zu vereiteln. Trotz dieser Abhilfemaßnahmen können Systeme „immer noch anfällig für Angriffe aus dem Unternehmensumfeld sein“.
WICHTIG
CVE-2022-26817 und CVE-2022-26814 | Windows DNS Server Sicherheitslücken bei der Remotecodeausführung
CVE-2022-26817 und CVE-2022-26814 sind RCE-Schwachstellen in Windows DNS Server, die Active Directory Domain Services betreffen, die beide eine CVSSv3-Punktzahl von 6,6 erhielten und von Yuki Chen mit Cyber KunLun entdeckt wurden. Die Ausnutzung dieser Sicherheitslücke wird als „weniger wahrscheinlich“ eingestuft, was mit der höheren Angriffskomplexität und den erforderlichen Berechtigungen zusammenhängen könnte. Um diese Schwachstelle erfolgreich auszunutzen, muss ein Angreifer im Zielnetzwerk, der über die Berechtigung zur Abfrage des Domain Name Service verfügt, eine Wettlaufbedingung gewinnen. Nur wenn er diese Schwachstelle zeitlich perfekt ausnutzt, kann er RCE erreichen. Patches wurden für unterstützte Versionen für Windows Server und Windows Server Core-Installationen veröffentlicht.
WICHTIG
15 Sicherheitsanfälligkeiten für die Erhöhung von Berechtigungen in Windows Print Spooler
Diesen Monat hat Microsoft 15 EoP-Schwachstellen in Print Spooler-Komponenten gepatcht, die alle einen CVSSv3-Score von 7,8 erhielten. Drei der Schwachstellen wurden von George Hughey vom Microsoft Security Response Center Vulnerabilities and Mitigations aufgedeckt, die anderen 12 wurden von Microsoft Offensive Research and Security Engineering aufgedeckt. Obwohl Microsoft diese Schwachstellen als „Exploitation Less Likely“ einstuft, haben Angreifer in der Vergangenheit bereits EoP-Schwachstellen in Print Spooler ausgenutzt.
CVE-2022-26803
CVE-2022-26786
CVE-2022-26787
CVE-2022-26789
CVE-2022-26790
CVE-2022-26791
CVE-2022-26802
CVE-2022-26792
CVE-2022-26797
CVE-2022-26795
CVE-2022-26796
CVE-2022-26798
CVE-2022-26801
CVE-2022-26793
CVE-2022-26794
Bevorstehendes Ende des Supports
In den kommenden Wochen werden Versionen von .NET Framework und Windows 10 keine Updates und keinen Support mehr erhalten. Am 26. April wird der Support für .NET Framework 4.5.2, 4.6 oder 4.6.1 eingestellt, da sie den weniger sicheren Secure Hash Algorithm 1 (SHA-1) verwenden. Am 10. Mai erreicht Windows 10, Version 20H2, das Ende der Unterstützung. Benutzer werden dringend gebeten, auf neuere Versionen zu aktualisieren, um sicherzustellen, dass sie weiterhin wichtige Sicherheitsupdates erhalten.
Tenable-Lösungen
Benutzer können Scans erstellen, die sich speziell auf unsere Patch Tuesday-Plugins konzentrieren. Setzen Sie in einem neuen erweiterten Scan auf der Registerkarte Plugins einen erweiterten Filter für Plugin-Name enthält April 2022.
Wenn dieser Filter gesetzt ist, klicken Sie auf die Plugin-Familien auf der linken Seite und aktivieren Sie jedes Plugin, das auf der rechten Seite erscheint. Hinweis: Wenn in den Familien auf der linken Seite „Aktiviert“ steht, sind alle Plugins dieser Familie aktiviert. Deaktivieren Sie die gesamte Familie, bevor Sie die einzelnen Plugins für diesen Scan auswählen. Hier ist ein Beispiel von Tenable.io:
Eine Liste aller Plugins, die für das April 2022 Patch Tuesday Update von Tenable veröffentlicht wurden, finden Sie hier. Wie immer empfehlen wir, Systeme so schnell wie möglich zu patchen und Ihre Umgebung regelmäßig zu scannen, um die Systeme zu identifizieren, die noch gepatcht werden müssen.
Die zunehmende KI-Verbreitung erschwere die Erkennung von Fälschungen. Gleichzeitig begünstige der Abo-Trend das Aufkommen neuer…
Gemeinsam arbeiten die Konzerne an Ionenfallen, die in Hochleistungs-Quantencomputern zum Einsatz kommen sollen.
Neu entwickeltes Open-Source-System soll Signatur-Umgehungen durch adaptive Missbrauchserkennung transparent machen.
Von mindestens einer Schwachstelle geht ein hohes Sicherheitsrisiko aus. Betroffen sind Chrome für Windows, macOS…
Digitale Währungen haben in nur kurzer Zeit die komplette Finanzlandschaft auf den Kopf gestellt. Mit…
Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung. Angreifbar sind alle unterstützten Versionen von Android.