Patch-Tuesday im Mai 2022

Microsoft behebt mit dem Update 75 Schwachstellen, darunter ein Advisory (ADV220001) für Azure als Reaktion auf CVE-2022-29972, eine öffentlich bekannte Zero-Day-RCE-Schwachstelle (Remote-Code-Execution), sowie acht Schwachstellen, die als kritisch eingestuft werden, da sie RCE oder Rechteerweiterung ermöglichen. Die Patch-Tuesday-Veröffentlichung enthält auch Korrekturen für zwei weitere Zero-Day-Schwachstellen: eine, die bekanntermaßen aktiv ausgenutzt wird (CVE-2022-26925) sowie eine, die öffentlich bekannt ist (CVE-2022-22713).

Microsoft hat mehrere Schwachstellen in seiner Software behoben, darunter Denial of Service (DoS), Rechteerweiterung, Offenlegung von Informationen, Remote-Code-Execution (RCE), Umgehung von Sicherheitsfunktionen und Spoofing-Schwachstellen.

 

Patches für schwerwiegende Microsoft-Sicherheitslücken

Die Patches im Mai decken mehrere Microsoft-Produktfamilien ab, darunter Azure, Developer Tools, Extended Security Update (ESU), Exchange Server, Microsoft Office und Windows. Insgesamt sind 97 einzelne Microsoft-Produkte/Versionen betroffen. Zu den Downloads gehören Monthly Rollup, Security Only, Security Update und ServicingStackUpdate.

CVE-2022-21978 | Microsoft Exchange Server Elevation of Privilege Vulnerability

Diese Schwachstelle hat einen CVSSv3.1-Wert von 8,2/10. Für eine erfolgreiche Ausnutzung dieser Schwachstelle muss der Angreifer als Mitglied einer Gruppe mit hohen Berechtigungen beim Exchange Server authentifiziert sein. Eine Ausnutzbarkeit ist unwahrscheinlich.

CVE-2022-22012 und CVE-2022-29130 | Windows LDAP Remote Code Execution Vulnerability

Diese Schwachstelle hat einen CVSSv3.1-Wert von 9,8/10. Ein nicht authentifizierter Angreifer könnte eine speziell gestaltete Anfrage an einen anfälligen Server senden. Eine erfolgreiche Ausnutzung könnte dazu führen, dass der Code des Angreifers im Kontext des SYSTEM-Kontos ausgeführt wird.

Diese Sicherheitslücke kann nur ausgenutzt werden, wenn die LDAP-Richtlinie MaxReceiveBuffer auf einen höheren Wert als den Standardwert gesetzt ist. Systeme mit dem Standardwert dieser Richtlinie wären nicht anfällig. Weitere Informationen finden sich in den LDAP-Richtlinien von Microsoft. Eine Ausnutzbarkeit ist weniger wahrscheinlich.

CVE-2022-22017 | Remote Desktop Client Remote Code Execution Vulnerability

Diese Schwachstelle hat einen CVSSv3.1-Wert von 8,8/10. Ein Angreifer müsste einen anvisierten Benutzer dazu bringen, eine Verbindung zu einem schadhaften RDP-Server herzustellen. Nach dem Verbindungsaufbau könnte der schadhafte Server Code auf dem System des Opfers im Kontext des Zielbenutzers ausführen. Eine Ausnutzbarkeit ist wahrscheinlicher.

CVE-2022-26913 | Windows Authentication Security Feature Bypass Vulnerability

Diese Schwachstelle hat einen CVSSv3.1-Wert von 7,4/10. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte einen Man-in-the-Middle-Angriff (MITM) durchführen und den TLS-Verkehr zwischen Client und Server entschlüsseln und lesen oder verändern. Es gibt keine Auswirkungen auf die Verfügbarkeit des angegriffenen Rechners. Eine Ausnutzbarkeit ist weniger wahrscheinlich.

CVE-2022-26923 | Active Directory Domain Services Elevation of Privilege Vulnerability

Diese Schwachstelle hat eine CVSSv3.1-Bewertung von 8,8/10. Ein authentifizierter Benutzer könnte Attribute auf Computerkonten, die er besitzt oder verwaltet, manipulieren und ein Zertifikat von Active Directory-Zertifikatsdiensten erwerben, das eine Erhöhung der Berechtigungen ermöglicht. Eine Ausnutzbarkeit ist wahrscheinlicher.

CVE-2022-26937 | Windows Network File System Remote Code Execution

Diese Schwachstelle hat einen CVSSv3.1-Wert von 9,8/10. Diese Schwachstelle kann über das Netzwerk ausgenutzt werden, indem ein nicht authentifizierter, speziell gestalteter Aufruf an einen Netzwerkdateisystemdienst (NFS) erfolgt, um eine Remotecodeausführung (RCE) auszulösen.

Diese Schwachstelle ist in NFSV4.1 nicht ausnutzbar. Bevor Nutzer ihre Windows-Version aktualisieren, die vor dieser Schwachstelle schützt, können sie einen Angriff durch Deaktivieren von NFSV2 und NFSV3 abschwächen. Das kann sich nachteilig auf ihr Ökosystem auswirken und sollte nur als vorübergehende Abschwächung verwendet werden. Eine Ausnutzbarkeit ist wahrscheinlicher.

CVE-2022-29108 | Microsoft SharePoint Server Remote Code Execution

Diese Schwachstelle hat einen CVSSv3.1-Wert von 8,8/10. Der Angreifer muss authentifiziert sein und über die Berechtigungen zur Seitenerstellung verfügen, um diese Schwachstelle ausnutzen zu können. Eine Ausnutzbarkeit ist wahrscheinlicher.

CVE-2022-29133 | Windows Kernel Elevation of Privilege Vulnerability

Diese Schwachstelle hat einen CVSSv3.1-Wert von 8,8/10. In diesem Fall könnte ein erfolgreicher Angriff von einem AppContainer mit geringen Rechten aus durchgeführt werden. Der Angreifer könnte seine Berechtigungen erhöhen und Code ausführen oder auf Ressourcen zugreifen, die eine höhere Integritätsstufe haben als die der AppContainer-Ausführungsumgebung. Eine Ausnutzbarkeit ist weniger wahrscheinlich.

Von Debra M. Fezza Reed, Vulnerability and Threat Research Engineering Team, #Qualys