Patchday: Microsoft dichtet Zero-Day-Lücke und 120 weitere Sicherheitslecks ab
121 Schwachstellen wurden im großen Produktportfolio von Microsoft zum August-Patchday gefunden. Eine davon wird bereits von Cyberkriminellen missbraucht.
(Bild: heise online)
Administratoren und Nutzer haben zum August-Patchday von Microsoft eine Menge zu tun: Für 121 Sicherheitslücken stellt der Hersteller Fehlerkorrekturen bereit. Eine der Schwachstellen wird bereits von Cyberkriminellen angegriffen, es handelt sich also um eine Zero-Day-Lücke. Insgesamt 17 sicherheitsrelevante Fehler stuft Microsoft als kritisches Risiko ein.
Die Zero-Day-Lücke findet sich einmal mehr im Microsoft Windows Support Diagnostic Tool MSDT. Das Unternehmen erläutert, dass Angreifer etwa mittels manipulierter E-Mail oder präparierten Webseiten potenziellen Opfern Dateien senden könnten, die den Fehler zum Kompromittieren des Rechners ausnutzen. Per E-Mail-Versand müssten Opfer die Datei öffnen, auf dem Webserver genügt der Erläuterung von Microsoft zufolge das Besuchen der Webseite (CVE-2022-34713, CVSS 7.8, Risiko "hoch"). Es handele sich um eine Variante der MSDT-Lücken, die auch als Dogwalk bekannt ist.
Wurm-Potenzial
Zudem sticht eine Lücke im Windows Point-to-Point Protocol (PPP) hervor. Microsoft beschreibt, dass Angreifer aus dem Netz ohne Authentifizierung und ohne Nutzerinteraktion die Schwachstelle ausnutzen könnten – damit hat die Lücke Wurm-Potenzial. Es genügt dazu das Senden einer präparierten Verbindungsanfrage an den RAS-Server. Insbesondere, wenn der Port vom Internet aus erreichbar ist, sollten Administratoren den Patch rasch installieren (CVE-2022-30133, CVSS 9.8, Risiko "kritisch").
Details zu einer Lücke in Exchange, durch die Angreifer unbefugt an Informationen gelangen können, sind bereits öffentlich verfügbar (CVE-2022-30134, CVSS 7.6, hoch). Im Mail-Server dichtet Microsoft weitere fünf Sicherheitslecks ab, von denen drei den Schweregrad "kritisch" haben. Da Exchange-Lücken in der Vergangenheit stark ins Visier von Cyberkriminellen gerückt sind, schätzt Microsoft bei drei Lücken – die eine Rechteausweitung ermöglichen – ein Ausnutzen als wahrscheinlich ein.
Die Lücken verteilen sich auf viele Produkte des Unternehmens. 44 der Schwachstellen betreffen etwa das Azure-Portfolio an Cloud-Diensten. Die Liste von Microsoft ist recht ausführlich. Patches stehen im August bereit für
- .NET Core
- Active Directory Domain Services
- Azure Batch Knoten-Agent
- Azure-Echtzeitbetriebssystem
- Azure Site Recovery
- Azure Sphere
- Microsoft ATA-Port-Treiber
- Microsoft Bluetoothtreiber
- Microsoft Edge (Chromium-basiert)
- Microsoft Exchange Server
- Microsoft Office
- Microsoft Office Excel
- Microsoft Office Outlook
- Microsoft Windows Support Diagnostic Tool (MSDT)
- RAS-Dienst Point-to-Point-Tunneling-Protokoll
- Rolle: Windows-Faxdienst
- Rolle: Windows Hyper-V
- System Center Operations Manager
- Visual Studio
- Windows Bluetooth-Dienst
- Windows Canonical-Anzeigetreiber
- Windows Minifiltertreiber für Clouddateien (Cloud Files Mini Filter Driver)
- Windows Defender Credential Guard
- Windows digitale Medien
- Windows-Fehlerberichterstattung
- Windows Hello
- Windows Internetinformationsdienste
- Windows Kerberos
- Windows-Kernel
- Windows lokale Sicherheitsautorität (LSA)
- Windows Network File System
- Windows Partitionsverwaltungstreiber
- Windows Point-to-Point-Tunneling-Protokoll
- Windows Druckerspooler-Komponenten
- Windows Sicherer Start
- Windows Secure Socket Tunneling Protocol (SSTP)
- Windows Direkte Speicherplätze
- Windows Unified Write Filter
- Windows WebBrowser-Steuerelement
- Windows Win32K
Administratoren sollten die Aktualisierungen so schnell wie möglich einspielen, insbesondere mit Hinblick darauf, dass eine Lücke bereits aktiv angegriffen wird. Zudem stellen die als kritisch eingestuften Sicherheitslücken eine Gefahr für die Computer- und Netzwerksicherheit dar.
(dmk)
