Microsoft hat Fixes für 48 neue Schwachstellen in seinen Produkten veröffentlicht, darunter eine, die Angreifer aktiv ausnutzen, und eine andere, die öffentlich bekannt gegeben wurde, aber derzeit nicht aktiv ausgenutzt wird.
Sechs der Sicherheitslücken, die das Unternehmen in seinem letzten monatlichen Sicherheitsupdate für das Jahr gepatcht hat, werden als kritisch aufgeführt. Es ordnete 43 Schwachstellen einen wichtigen Schweregrad zu und bewertete drei Schwachstellen mit einem mittleren Schweregrad.
Microsofts Update enthält Patches für Out-of-Band-CVEs, die im vergangenen Monat behoben wurden, sowie 23 Schwachstellen in Googles Chromium-Browsertechnologie, auf der Microsofts Edge-Browser basiert.
Aktiv ausgenutzter Sicherheitsfehler
Der Fehler, den Angreifer aktiv ausnutzen (CVE-2022-44698) gehört nicht zu den kritischeren Fehlern, für die Microsoft heute Patches veröffentlicht hat. Der Fehler bietet Angreifern eine Möglichkeit, die Windows SmartScreen-Sicherheitsfunktion zu umgehen, um Benutzer vor schädlichen Dateien zu schützen, die aus dem Internet heruntergeladen werden.
„Ein Angreifer kann eine bösartige Datei erstellen, die die Abwehr von Mark of the Web (MOTW) umgeht, was zu einem begrenzten Verlust der Integrität und Verfügbarkeit von Sicherheitsfunktionen wie der geschützten Ansicht in Microsoft Office führt, die auf MOTW-Tagging angewiesen sind“, sagte Microsoft.
CVE-2022-44698 stellt nur ein relativ geringes Risiko für Unternehmen dar, sagt Kevin Breen, Director of Cyber-Threat Research bei Immersive Labs. „Es muss zusammen mit einer ausführbaren Datei oder anderem Schadcode wie einem Dokument oder einer Skriptdatei verwendet werden“, sagt Breen. „In diesen Situationen umgeht dieses CVE einige der integrierten Reputationsprüfungen und -erkennungen von Microsoft – nämlich SmartScreen, das normalerweise auftaucht, um einem Benutzer mitzuteilen, dass die Datei möglicherweise nicht sicher ist.“
Gleichzeitig sollten Benutzer die Bedrohung nicht unterschätzen und das Problem schnell beheben, empfiehlt Breen.
Microsoft beschrieb einen weiteren Fehler – ein Problem mit der Rechteerweiterung im DirectX Graphics-Kernel – als einen öffentlich bekannten Zero-Day, aber keinen aktiven Exploit. Das Unternehmen bewertete die Schwachstelle (CVE-2022-44710) mit dem Schweregrad „Wichtig“ und einem Angreifer, der es einem Angreifer ermöglichen würde, Privilegien auf Systemebene zu erlangen, wenn er ausgenutzt wird. Das Unternehmen beschrieb den Fehler jedoch als einen Fehler, den Angreifer weniger wahrscheinlich ausnutzen.
Jetzt zu patchende Schwachstellen
Das ZDI von Trend Micro hat drei weitere Schwachstellen im Sicherheitsupdate vom Dezember-Patch-Dienstag als erheblich gekennzeichnet: CVE-2022-44713, CVE-2022-41076 und CVE-2022-44699.
CVE-2022-44713 ist eine Spoofing-Schwachstelle in Microsoft Outlook für Mac. Die Schwachstelle ermöglicht es einem Angreifer, als vertrauenswürdiger Benutzer aufzutreten und ein Opfer dazu zu bringen, eine E-Mail-Nachricht so zu fälschen, als käme sie von einem legitimen Benutzer.
„Wir heben Spoofing-Bugs nicht oft hervor, aber immer wenn Sie es mit einem Spoofing-Bug in einem E-Mail-Client zu tun haben, sollten Sie darauf achten“, sagt Dustin Childs, Head of Threat Awareness bei ZDI sagte in einem Blogbeitrag. Die Schwachstelle könnte sich als besonders problematisch erweisen, wenn sie mit dem oben erwähnten MoTW-Bypass-Fehler von SmartScreen kombiniert wird, den Angreifer aktiv ausnutzen, sagte er.
CVE-2022-41076 ist eine PowerShell Remote Code Execution (RCE)-Schwachstelle, die es einem authentifizierten Angreifer ermöglicht, der PowerShell Remoting Session Configuration zu entkommen und beliebige Befehle auf einem betroffenen System auszuführen, sagte Microsoft.
Das Unternehmen bewertete die Schwachstelle als etwas, das Angreifer eher kompromittieren könnten, obwohl die Angriffskomplexität selbst hoch ist. Laut Childs sollten Unternehmen auf die Schwachstelle achten, da Angreifer diese Art von Schwachstelle häufig ausnutzen, wenn sie versuchen, „von der Erde zu leben“, nachdem sie sich den ersten Zugriff auf ein Netzwerk verschafft haben.
„Ignorieren Sie diesen Patch auf keinen Fall“, schrieb Childs.
Und schließlich ist CVE-2022-44699 eine weitere Schwachstelle zur Sicherheitsumgehung – diesmal im Azure Network Watcher Agent - Dies könnte, wenn es ausgenutzt wird, die Fähigkeit eines Unternehmens beeinträchtigen, Protokolle zu erfassen, die für die Reaktion auf Vorfälle benötigt werden.
„Es gibt vielleicht nicht viele Unternehmen, die sich auf dieses Tool verlassen, aber für diejenigen, die diese [Azure Network Watcher] VM-Erweiterung verwenden, sollte dieser Fix als kritisch behandelt und schnell bereitgestellt werden“, sagte Childs.
Forscher mit Cisco Talos drei weitere Sicherheitslücken identifiziert als kritisch und Probleme, die Unternehmen sofort angehen müssen. Eine davon ist CVE-2022-41127, eine RCE-Schwachstelle, die Microsoft Dynamics NAV und lokale Versionen von Microsoft Dynamics 365 Business Central betrifft. Ein erfolgreicher Exploit könnte es einem Angreifer ermöglichen, beliebigen Code auf Servern auszuführen, auf denen die ERP-Anwendung Dynamics NAV von Microsoft ausgeführt wird, sagten Talos-Forscher in einem Blogbeitrag.
Die anderen beiden Sicherheitslücken, die der Hersteller als sehr wichtig einstuft, sind CVE-2022-44670 und CVE-2022-44676, die beide RCE-Fehler im Windows Secure Socket Tunneling Protocol (SSTP) sind.
„Die erfolgreiche Ausnutzung dieser Schwachstellen erfordert, dass ein Angreifer eine Race-Condition gewinnt, könnte es einem Angreifer jedoch ermöglichen, Code auf RAS-Servern remote auszuführen“, so die Empfehlung von Microsoft.
Zu den Schwachstellen, die die SANS Internet Storm Center als wichtig identifiziert werden (CVE-2022-41089), ein RCE im .NET Framework und (CVE-2022-44690) in Microsoft SharePoint-Server.
In einer Blog-Post, Mike Walters, Vice President of Vulnerability and Threat Research bei Action1 Corp., wies ebenfalls auf eine Sicherheitslücke im Windows-Druckspooler zur Erhöhung von Berechtigungen hin (CVE-2022-44678), wie Ein anderes Problem beobachten.
„Der neu gelöste CVE-2022-44678 wird höchstwahrscheinlich ausgenutzt, was wahrscheinlich zutrifft, weil Microsoft letzten Monat eine weitere Zero-Day-Schwachstelle im Zusammenhang mit Print Spooler behoben hat“, sagte Walters. „Das Risiko von CVE-2022-44678 ist dasselbe: Ein Angreifer kann nach erfolgreicher Ausnutzung SYSTEM-Privilegien erhalten - aber nur lokal.“
Eine verwirrende Anzahl von Fehlern
Interessanterweise hatten mehrere Anbieter unterschiedliche Ansichten über die Anzahl der Schwachstellen, die Microsoft diesen Monat gepatcht hat. ZDI hat beispielsweise festgestellt, dass Microsoft 52 Sicherheitslücken gepatcht hat; Talos legte die Zahl auf 48 fest, SANS auf 74, und Action1 ließ Microsoft zunächst 74 patchen, bevor es auf 52 herunter korrigiert wurde.
Johannes Ullrich, Forschungsdekan des SANS Technology Institute, sagt, das Problem habe mit der unterschiedlichen Art und Weise zu tun, wie man die Schwachstellen zählen kann. Einige zählen beispielsweise Chromium-Schwachstellen in ihre Zählung, andere nicht.
Andere, wie SANS, enthalten auch Sicherheitshinweise, die Microsoft-Updates manchmal als Schwachstellen begleiten. Microsoft veröffentlicht im Laufe des Monats manchmal auch Patches, die es auch in das folgende Patch Tuesday-Update einbezieht, und einige Forscher zählen diese nicht.
„Die Anzahl der Patches kann manchmal verwirrend sein, da der Patchday-Zyklus technisch gesehen von November bis Dezember ist, sodass dies auch Patches enthält, die früher im Monat außerhalb der Band veröffentlicht wurden, und kann auch Updates von Drittanbietern enthalten“, sagt Breen . „Die bemerkenswertesten davon sind Patches von Google von Chromium, das die Basis für Microsofts Edge-Browser ist.“
Laut Breen wurden seit dem letzten Patch Tuesday im November 74 Sicherheitslücken gepatcht. Darunter sind 51 von Microsoft und 23 von Google für den Edge-Browser.
„Wenn wir sowohl die Out-of-Band- als auch die Google Chromium-Patches ausschließen, wurden heute 49 Patches für Schwachstellen veröffentlicht“, sagt er.
Ein Microsoft-Sprecher sagte, die Zahl der neuen CVEs, für die das Unternehmen heute Patches herausgegeben habe, sei 48 gewesen.
