zurück zum Artikel

Patchday: Microsoft dichtet Zero-Day-Lücke und 120 weitere Sicherheitslecks ab

Alert! Dirk Knop
Aufmacher Microsoft August-Patchday

(Bild: heise online)

121 Schwachstellen wurden im großen Produktportfolio von Microsoft zum August-Patchday gefunden. Eine davon wird bereits von Cyberkriminellen missbraucht.

Administratoren und Nutzer haben zum August-Patchday von Microsoft eine Menge zu tun: Für 121 Sicherheitslücken stellt der Hersteller Fehlerkorrekturen bereit. Eine der Schwachstellen wird bereits von Cyberkriminellen angegriffen, es handelt sich also um eine Zero-Day-Lücke. Insgesamt 17 sicherheitsrelevante Fehler stuft Microsoft als kritisches Risiko ein.

Die Zero-Day-Lücke findet sich einmal mehr im Microsoft Windows Support Diagnostic Tool MSDT. Das Unternehmen erläutert, dass Angreifer etwa mittels manipulierter E-Mail oder präparierten Webseiten potenziellen Opfern Dateien senden könnten, die den Fehler zum Kompromittieren des Rechners ausnutzen. Per E-Mail-Versand müssten Opfer die Datei öffnen, auf dem Webserver genügt der Erläuterung von Microsoft zufolge [1] das Besuchen der Webseite (CVE-2022-34713, CVSS 7.8, Risiko "hoch"). Es handele sich um eine Variante der MSDT-Lücken [2], die auch als Dogwalk bekannt ist.

Zudem sticht eine Lücke im Windows Point-to-Point Protocol (PPP) hervor. Microsoft beschreibt, dass Angreifer aus dem Netz [3] ohne Authentifizierung und ohne Nutzerinteraktion die Schwachstelle ausnutzen könnten – damit hat die Lücke Wurm-Potenzial. Es genügt dazu das Senden einer präparierten Verbindungsanfrage an den RAS-Server. Insbesondere, wenn der Port vom Internet aus erreichbar ist, sollten Administratoren den Patch rasch installieren (CVE-2022-30133, CVSS 9.8, Risiko "kritisch").

Details zu einer Lücke in Exchange, durch die Angreifer unbefugt an Informationen gelangen können, sind bereits öffentlich verfügbar (CVE-2022-30134, CVSS 7.6, hoch). Im Mail-Server dichtet Microsoft weitere fünf Sicherheitslecks ab, von denen drei den Schweregrad "kritisch" haben. Da Exchange-Lücken in der Vergangenheit stark ins Visier von Cyberkriminellen gerückt sind, schätzt Microsoft bei drei Lücken – die eine Rechteausweitung ermöglichen – ein Ausnutzen als wahrscheinlich ein.

Die Lücken verteilen sich auf viele Produkte des Unternehmens. 44 der Schwachstellen betreffen etwa das Azure-Portfolio an Cloud-Diensten. Die Liste von Microsoft ist recht ausführlich [4]. Patches stehen im August bereit für

Administratoren sollten die Aktualisierungen so schnell wie möglich einspielen, insbesondere mit Hinblick darauf, dass eine Lücke bereits aktiv angegriffen wird. Zudem stellen die als kritisch eingestuften Sicherheitslücken eine Gefahr für die Computer- und Netzwerksicherheit dar.

(dmk [5])

URL dieses Artikels:
https://www.heise.de/-7215686

Links in diesem Artikel:
[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34713
[2] https://www.heise.de/news/Zero-Day-Luecke-Optimierte-Angriffe-auf-Microsofts-Diagnostic-Tool-MSDT-7133489.html
[3] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30133
[4] https://msrc.microsoft.com/update-guide/releaseNote/2022-Aug
[5] mailto:dmk@heise.de

Copyright © 2022 Heise Medien