Patchday Microsoft: Windows-Schwachstelle attackiert - Domain-Controller updaten
Eine aktiv ausgenutzte Schwachstelle betrifft viele Windows- und Windows-Server-Versionen. Zwei weitere Lücken sind bekannt. Attacken könnten bevorstehen.
An diesem Patchday sollten Admins vor allem Domain Controller auf Windows-Basis zügig aktualisieren. Derzeit haben es Angreifer auf Systeme abgesehen und belauschen Netzwerkverbindungen.
Weiterhin gibt es noch wichtige Sicherheitsupdates für unter anderem .NET und Visual Studio, Bitlocker, Edge, Hyper-V und Office. Sieben Lücken stuft Microsoft als "kritisch" ein. In einigen Fällen könnten sich Angreifer höhere Nutzerrechte verschaffen oder sogar Schadcode ausführen.
Aufgrund von Fehlern bei der Anmeldung (CVE-2022-26925 "hoch") von Domain Controllern könnte ein Angreifer mit Zugriff auf den logischen Netzwerkpfad manipulierend eingreifen. Mit dem Aufruf einer bestimmten Methode der LSARPC-Schnittstelle könnten Angreifer Domain Controller dazu bringen, sich via NTLM gegenüber ihnen zu authentifizieren. In dieser Man-in-the-Middle-Position können sie Verbindungen belauschen. Genau das nutzen Angreifer derzeit aus. In welchem Umfang die Attacken laufen, ist bislang unbekannt.
Mögliche Fehler in Backups von Windows-Versionen
In Kombination mit NTLM-Relay-Attacken, beispielsweise im Kontext von Active Directory, [1] gilt der Bedrohungsgrad als "kritisch". Um das vorzubeugen, sollten Admins einen Beitrag mit wichtigen Hinweisen zu Absicherung gegen solche Attacken lesen [2].
Außerdem weisen sie in einer Warnmeldung zur Lücke darauf hin [3], dass es nach der Installation des Sicherheitsupdates zu Fehlern mit Backups von Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1 kommen kann.
Sicherheitspatches zu Windows-Komponenten und Excel
Als kritisch stuft Microsoft Schwachstellen in Active Directory, Point-to-Point Tunneling Protocol, Remote Desktop Client, Windows Kerberos und Windows Network File System ein. Öffentlich bekannt sind noch eine Lücke (CVE-2022-22713 "mittel") in Hyper-V und in Magnitude Simba Amazon Redshift ODBC Driver (CVE.2022-29972). Wer diese Drittanbieter-Lösung einsetzt, sollte sich einen Beitrag von Microsoft zur Problematik anschauen [4].
Die weiteren Sicherheitspatches betreffen vorwiegend verschiedene Windows-Komponenten und etwa Excel. Wer Microsoft-Software nutzt, sollte sicherstellen, dass Windows Update aktiv ist und die aktuellen Patches installiert sind. In der Regel passiert das in der Standardkonfiguration automatisch.
(des [5])
URL dieses Artikels:
https://www.heise.de/-7081322
Links in diesem Artikel:
[1] https://msrc.microsoft.com/update-guide/vulnerability/ADV210003
[2] https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26925
[4] https://msrc-blog.microsoft.com/2022/05/09/vulnerability-mitigated-in-the-third-party-data-connector-used-in-azure-synapse-pipelines-and-azure-data-factory-cve-2022-29972
[5] mailto:des@heise.de
Copyright © 2022 Heise Medien