Patch Day Mai 2022

Der Patch Day am 10. Mai hat etliche Updates gebracht, die 74 Schwachstellen beheben. Das sind deutlich weniger als im Vormonat . Microsoft stuft sieben Schwachstellen als kritisch ein und weist den Rest bis auf eine Lücke als hohes Risiko aus. Die Lücken betreffen unter anderem Windows, Office, Hyper-V, Exchange und Azure. Eine Schwachstelle (CVE-2022-26925) wird bereits für Angriffe genutzt, zwei weitere waren bereits vorab öffentlich bekannt. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf.

Browser
Das jüngste Sicherheits-Update für Edge (Chromium) ist die Version 101.0.1210.32, die bereits seit dem 28. April verfügbar ist. Sie basiert wie das jüngere Bug-Fix-Update 101.0.1210.39 vom 5. Mai auf Chromium 101.0.4951.54 und beseitigt mehrere Chromium-Lücken. Google hat am 10. Mai ein neues Update auf Chrome 101.0.4951.64 veröffentlicht, das weitere 13 Schwachstellen behebt. Ein entsprechendes Edge-Update steht noch aus, dürfte jedoch noch in dieser Woche folgen.

Office
In seiner Office-Produkten hat Microsoft im Mai vier Schwachstellen behoben. Microsoft weist alle als hohes Risiko aus. Drei der Lücken sind geeignet, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen (RCE: Remote Code Execution). Eine dieser Schwachstellen (CVE-2022-29108) betrifft den Sharepoint Server. Die beiden anderen RCE-Lücken (CVE-2022-29109, CVE-2022-29110) stecken in Excel.

Windows
Die Mehrzahl der Schwachstellen, in diesem Monat 62, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.

Netzwerk-Betreuer sollten insbesondere die Spoofing-Lücke CVE-2022-26925 in Windows LSA (Local Security Authority Subsystem) beachten. Ein Angreifer, der diese Lücke ausnutzt, kann einen Domänen-Controller dazu bringen, sich mittels NTLM bei einem anderen Server zu authentifizieren. Der Angreifer sitzt dabei virtuell zwischen beiden und liest mit („Man-in-the-Middle“). Diese Schwachstelle wird bereits für Angriffe genutzt.

Wenn Sie in Ihrem Netzwerk auch Rechner mit anderen Betriebssystemen einsetzen, etwa Linux oder Unix, ist auf Windows-Maschinen womöglich der Dienst für das Network File System (NFS) aktiviert. Dann sollten Sie den Patch gegen die als kritisch eingestufte Schwachstelle CVE-2022-26937 umgehend prüfen und ausrollen. Die Lücke hat einen CVSS-Score von 9.8 und ermöglicht es einem nicht im Netzwerk angemeldeten Angreifer, Code im Kontext des NFS-Dienstes auszuführen. Laut Microsoft ist NFS v4.1 nicht anfällig. Daher könnte auch ein Upgrade von NFS v2 oder v3 auf v4.1 sinnvoll sein.

Zwei Schwachstellen in der Windows-Implementierung des Point-to-Point Tunneling Protocol (PPTP) könnten einen Angreifer in Lage versetzen, eingeschleusten Code auszuführen (RCE) und sind daher als kritisch eingestuft. Allein zehn RCE-Lücken hat Microsoft in LDAP (Lightweight Directory Access Protocol) geschlossen – und eine im Windows Fax-Dienst.

Exchange Server
In Exchange Server 2013 bis 2019 hat Microsoft die Sicherheitslücke CVE-2022-21978 beseitigt. Ein Benutzer, der auf dem Exchange Server hohe Berechtigungen hat (etwa Admin), kann sich zum Domänen-Administrator aufschwingen, wenn er diese Lücke nutzt. Um das Update erfolgreich einzuspielen, gibt Microsoft weitere Schritte vor, die Sie je nach Exchange-Version vor oder nach der Installation des Updates in der angegebenen Reihenfolge ausführen sollten.

Insight Software: Magnitude Simba Amazon Redshift ODBC-Treiber
Die dritte bereits vorab öffentlich bekannte Schwachstelle betrifft etliche Microsoft-Dienste. Die ursächliche Lücke steckt nicht in einem Microsoft-Produkt, sondern in einem Datenbanktreiber, der Dienste wie Azure Data Factory mit Amazon Redshift verbindet. Der Patch gegen die als kritisch eingestufte Schwachstelle CVE-2022-29972 ist bereits vor diesem Update-Dienstag erschienen. Microsoft hat einen Blog-Beitrag und eine Sicherheitsempfehlung (die erste überhaupt in diesem Jahr) zu dieser Sicherheitslücke veröffentlicht.

Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 28 Lücken schließen. Darunter sind auch vier als kritisch ausgewiesene Sicherheitslücken wie etwa die oben erwähnten PPTP-Lücken und die NFS-Schwachstelle.

Auch im Mai gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 14. Juni 2022.