Die Fixes des Patch Tuesday im April 2022

Microsoft hat im April-Update 145 Sicherheitslücken behoben, darunter 17 Sicherheitslücken in Microsoft Edge, von denen zehn als kritisch eingestuft werden, da sie Remote-Code-Execution (RCE) ermöglichen. Der aktuelle Patch Tuesday enthält zudem Korrekturen für zwei Zero-Day-Schwachstellen, von denen eine bekanntermaßen aktiv ausgenutzt wird (CVE-2022-24521) und die andere öffentlich zugänglich ist (CVE-2022-26904). Microsoft hat weitere Probleme in seiner Software behoben, darunter Denial of Service, Elevation of Privilege, Information Disclosure und Spoofing- Schwachstellen.

Abdeckung mehrerer Microsoft-Produkte

Die Patches beheben Schwachstellen auf mehreren Microsoft-Produkten, einschließlich, aber nicht beschränkt auf Azure, Browser (Edge – Chromium), Entwicklertools, Extended Security Update (ESU), Microsoft Dynamics, Microsoft Office, SQL Server, System Center und Windows.

  • CVE-2022-23259 | Microsoft Dynamics 365 (on-premises) Remote Code Execution (RCE)

Diese Schwachstelle hat einen CVSSv3.1-Wert von 8.8/10 (Common Vulnerability Scoring System). Ein authentifizierter Benutzer könnte ein speziell präpariertes vertrauenswürdiges Lösungspaket ausführen, um beliebige SQL-Befehle auszuführen. Von dort aus könnte der Angreifer durch Privilegieneskalation Befehle als db_owner innerhalb seiner Dynamics 356-Datenbank ausführen. Eine Ausnutzung der Sicherheitslücke ist unwahrscheinlicher.

  • CVE-2022-24491 und CVE-2022-24497 | Windows Network File System Remote Code Execution (RCE)

Diese Schwachstelle hat einen CVSSv3.1-Wert von 9,8/10. Ein Angreifer könnte eine speziell gestaltete Netzwerknachricht des NFS-Protokolls an einen anfälligen Windows-Rechner senden, was die Remotecodeausführung ermöglichen könnte. Diese Sicherheitslücke kann nur auf Systemen ausgenutzt werden, auf denen die NFS Role (Network File System) aktiviert ist. Eine Ausnutzung der Sicherheitslücke ist wahrscheinlicher.

  • CVE-2022-24541 | Windows Server Service Remote Code Execution (RCE)

Diese Schwachstelle hat einen CVSSv3.1-Wert von 8,8/10. Die Sicherheitslücke setzt voraus, dass ein Benutzer mit einer betroffenen Windows-Version auf einen infizierten Server zugreift. Ein Angreifer müsste eine speziell gestaltete Serverfreigabe oder Website hosten. Er kann den Benutzer nicht dazu zwingen, diese speziell gestaltete Serverfreigabe oder Website zu besuchen, sondern muss ihn davon überzeugen, die Serverfreigabe oder Website zu besuchen. In der Regel geschieht das durch eine Phishing-E-Mail oder Chat-Nachricht. Microsoft bietet Abhilfemaßnahmen für diese Schwachstelle an: Blockieren des TCP-Port 445 an der Firewall des Unternehmens und Befolgen der Microsoft-Richtlinien zur Sicherung des SMB-Datenverkehrs. Eine Ausnutzung der Sicherheitslücke ist unwahrscheinlicher.

  • CVE-2022-24500 | Windows SMB Remote Code Execution (RCE) Vulnerability

Diese Schwachstelle hat einen CVSSv3.1-Wert von 8,8/10. Hier gelten dieselben Bedingungen und dieselben Abhilfemaßnehmen wie für die CVE-2022-24541. Damit die Schwachstelle ausgenutzt werden kann, muss ein Benutzer zusätzlich auf einen infizierten SMB-Server zugreifen, um im Rahmen eines Betriebssystem-API-Aufrufs Daten abzurufen.

  • CVE-2022-26809 | Remote Procedure Call (RPC) Runtime Remote Code Execution (RCE)

Diese Schwachstelle hat einen CVSSv3.1-Wert von 9,8/10. Um diese Sicherheitslücke auszunutzen, müsste ein Angreifer einen speziell gestalteten Remote Procedure Call (RPC) an einen RPC-Host senden. Dies könnte zu Remotecodeausführung (RCE) auf der Serverseite mit denselben Berechtigungen wie der RPC-Dienst führen. Es gelten dieselben Abhilfemaßnahmen wie oben. Eine Ausnutzung der Sicherheitslücke ist wahrscheinlicher.

Von Debra M. Fezza Reed, Solution Architect, Subject Matter Expert (SA/SME) Dashboards and Reporting bei Qualys.

#Qualys