2022-0052: Microsoft Windows: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2022-01-12 15:07)
- Neues Advisory
- Version 2 (2022-01-14 09:11)
- Microsoft hat aufgrund mehrerer kritischer Fehler, welche verschiedene Denial-of-Service (DoS)-Zustände für Domain Controller (anhaltende, wiederholte Neustarts), Hyper-V (startet nicht) und ReFS Volume Systems (Dateisystem nicht verfügbar bzw. im RAW-Format) geführt haben, die betreffenden am Patchtag im Januar 2022 veröffentlichten Cumulative Updates für Windows Server zurückgezogen. Betroffen soll insbesondere Windows Server 2012 R2 sein, aber auch für Windows Server 2016, 2019 und 2022 liegen dem BSI bereits Problemmeldungen vor. Zur Behebung müssen die verursachenden Updates KB5009624, KB5009595, KB5009586, KB5009566 bzw. KB5009543 deinstalliert werden.
- Version 3 (2022-01-18 17:40)
- Microsoft veröffentlicht zur Behebung der mit dem letzten Patchtag im Januar 2022 eingeführten kritischen Fehler Notfallpatches für Windows 7 SP1, 8.1, 10 Version 21H2 / 20H1 / 20H2 / 1909 / 1607 / 1507 sowie Windows Server 2008 SP2, 2012 und 2012 R2, 2016 / 2022 und Windows Server Version 20H2 / 20H1 / 1909. Die Updates müssen über Windows Update manuell gesucht und installiert werden. Darüber hinaus informiert das BSI über einen Proof-of-Concept für die Schwachstelle CVE-2022-21907 im HTTP Protocol Stack (http.sys), welcher auf GitHub veröffentlicht wurde.
- Version 4 (2023-04-12 16:19)
- Microsoft informiert detailliert über ein Unified Extensible Firmware Interface (UEFI) Bootkit, das unter dem Namen 'BlackLotus' bekannt ist und die Schwachstelle CVE-2022-21894 (Baton Drop) ausnutzt.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Microsoft
Beschreibung:
Mehrere Schwachstellen in den Windows-Komponenten Active Directory Domain Services, Clipboard User Service, Connected Devices Platform Service, DirectX Graphics Kernel, HEVC Video Extensions, HTTP Protocol Stack, Local Security Authority (Domain Policy), Local Security Authority Subsystem Service, Microsoft Cluster Port Driver, Microsoft Cryptographic Services, Microsoft Diagnostics Hub Standard Collector Runtime, Remote Desktop Client, Remote Desktop Licensing Diagnoser, Remote Desktop Protocol, Remote Procedure Call Runtime, Secure Boot, Storage Spaces Controller, Tablet Windows User Interface Application Core, Task Flow Data Engine, Tile Data Repository, Virtual Machine IDE Drive, Kernelmodustreiber (Win32k), Windows Accounts Control, Windows AppContracts API Server, Windows Application Model Core API, Windows BackupKey Remote Protocol, Windows Bind Filter Driver, Windows Certificate, Windows Cleanup Manager, Windows Common Log File System Driver, Windows DWM Core Library, Windows Defender Application Control, Windows Defender Credential Guard, Windows Devices Human Interface, Windows Event Tracing Discretionary Access Control List, Windows Event Tracing, Windows Extensible Firmware Interface, Windows GDI, Windows GDI+, Windows Geolocation Service, Windows Hyper-V, Windows IKE Extension, Windows Installer, Windows Kerberos, Windows Kernel, Windows Modern Execution Server, Windows Push Notifications Apps, Windows Remote Access Connection Manager, Windows Resilient File System (ReFS), Windows Security Center API, Windows StateRepository API Server, Windows Storage, Windows System Launcher, Windows UI Immersive Server API, Windows User Profile Service, Windows User-mode Driver Framework Reflector Driver und Workstation Service Remote Protocol sowie in Libarchive und Curl ermöglichen es einem Angreifer aus der Ferne Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen sowie in einem lokalen Angriff weitere Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen im benachbarten Netzwerk ausnutzen, um Privilegien zu eskalieren und Sicherheitsvorkehrungen zu umgehen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern dabei die Interaktion eines Benutzers und die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.
Insgesamt stuft Microsoft sieben der 87 Schwachstellen als 'kritisch' ein.
Besonders im Fokus steht in diesem Monat die Schwachstelle CVE-2022-21907 im HTTP Protocol Stack (http.sys), die vom Hersteller als 'wurmbar' eingestuft wird, sich also automatisch in Netzwerken ohne Authentifizierung verbreiten kann. Die Schwachstelle betrifft alle Versionen ab Windows Server 2019 und Windows 10 Version 1809 bei denen die Funktionalität 'Trailer' aktiviert ist, wobei bei Windows Server 2019 und Windows 10 Version 1809 die Funktionalität nicht standardmäßig aktiviert ist. Die 'Trailer'-Funktionalität wird dazu verwendet, um das Senden von Kopfzeilen (Header) bis zum Ende der Anfrage (oder Antwort) zu verzögern.
Darüber hinaus informiert Microsoft, dass mit den Sicherheitsupdates für die Bibliotheken Libarchive und Curl weitere, als die hier referenzierten Schwachstellen behoben werden.
Im Rahmen des Patchtages im Januar 2022 stehen Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Diese können im Microsoft Security Update Guide über die Kategorie 'Windows' identifiziert werden. Die (kostenpflichtigen) Updates für Windows 7 und Windows Server 2008 finden sich in der Kategorie Extended Security Updates (ESU).
Microsoft informiert mit einer Aktualisierung des Security Advisory ADV990001 über die neuesten Servicing Stack Updates (SSU) für die unterschiedlichen Betriebssysteme und -versionen und weist darauf hin, dass diese unbedingt installiert werden müssen.
Schwachstellen:
CVE-2021-22947
Schwachstelle in curl ermöglicht Ausspähen von InformationenCVE-2021-36976
Schwachstelle in libarchive ermöglicht u. a. Denial-of-Service-AngriffCVE-2022-21833
Schwachstelle in Virtual Machine IDE Drive ermöglicht PrivilegieneskalationCVE-2022-21834
Schwachstelle in Windows User-mode Driver Framework Reflector Driver ermöglicht PrivilegieneskalationCVE-2022-21835
Schwachstelle in Microsoft Cryptographic Services ermöglicht PrivilegieneskalationCVE-2022-21836
Schwachstelle in Windows Certificate ermöglicht Darstellen falscher InformationenCVE-2022-21838
Schwachstelle in Windows Cleanup Manager ermöglicht PrivilegieneskalationCVE-2022-21839
Schwachstelle in Windows Event Tracing Discretionary Access Control List ermöglicht Denial-of-Service-AngriffCVE-2022-21843 CVE-2022-21848 CVE-2022-21883 CVE-2022-21889 CVE-2022-21890
Schwachstellen in Windows IKE Extension ermöglichen Denial-of-Service-AngriffCVE-2022-21847
Schwachstelle in Windows Hyper-V ermöglicht Denial-of-Service-AngriffCVE-2022-21849
Schwachstelle in Windows IKE Extension ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-21850 CVE-2022-21851
Schwachstellen in Remote Desktop Client ermöglichen Ausführen beliebigen ProgrammcodesCVE-2022-21852 CVE-2022-21902
Schwachstellen in Windows DWM Core Library ermöglichen PrivilegieneskalationCVE-2022-21857
Schwachstelle in Active Directory Domain Services ermöglicht PrivilegieneskalationCVE-2022-21858
Schwachstelle in Windows Bind Filter Driver ermöglicht PrivilegieneskalationCVE-2022-21859
Schwachstelle in Windows Accounts Control ermöglicht PrivilegieneskalationCVE-2022-21860
Schwachstelle in Windows AppContracts API Server ermöglicht PrivilegieneskalationCVE-2022-21861
Schwachstelle in Task Flow Data Engine ermöglicht PrivilegieneskalationCVE-2022-21862
Schwachstelle in Windows Application Model Core API ermöglicht PrivilegieneskalationCVE-2022-21863
Schwachstelle in Windows StateRepository API Server ermöglicht PrivilegieneskalationCVE-2022-21864
Schwachstelle in Windows UI Immersive Server API ermöglicht PrivilegieneskalationCVE-2022-21865
Schwachstelle in Connected Devices Platform Service ermöglicht PrivilegieneskalationCVE-2022-21866
Schwachstelle in Windows System Launcher ermöglicht PrivilegieneskalationCVE-2022-21867
Schwachstelle in Windows Push Notifications Apps ermöglicht PrivilegieneskalationCVE-2022-21868
Schwachstelle in Windows Devices Human Interface ermöglicht PrivilegieneskalationCVE-2022-21869
Schwachstelle in Clipboard User Service ermöglicht PrivilegieneskalationCVE-2022-21870
Schwachstelle in Tablet Windows User Interface Application Core ermöglicht PrivilegieneskalationCVE-2022-21871
Schwachstelle in Microsoft Diagnostics Hub Standard Collector Runtime und Visual Studio ermöglicht PrivilegieneskalationCVE-2022-21872
Schwachstelle in Windows Event Tracing ermöglicht PrivilegieneskalationCVE-2022-21873
Schwachstelle in Tile Data Repository ermöglicht PrivilegieneskalationCVE-2022-21874
Schwachstelle in Windows Security Center API ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-21875
Schwachstelle in Windows Storage ermöglicht PrivilegieneskalationCVE-2022-21876
Schwachstelle in Kernelmodustreiber ermöglicht Ausspähen von InformationenCVE-2022-21877
Schwachstelle in Storage Spaces Controller ermöglicht Ausspähen von InformationenCVE-2022-21878
Schwachstelle in Windows Geolocation Service ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-21879
Schwachstelle in Windows Kernel ermöglicht PrivilegieneskalationCVE-2022-21880 CVE-2022-21915
Schwachstellen in Windows GDI+ ermöglichen Ausspähen von InformationenCVE-2022-21881
Schwachstelle in Windows Kernel ermöglicht PrivilegieneskalationCVE-2022-21882 CVE-2022-21887
Schwachstellen in Kernelmodustreiber ermöglichen PrivilegieneskalationCVE-2022-21884
Schwachstelle in Local Security Authority Subsystem Service ermöglicht PrivilegieneskalationCVE-2022-21885 CVE-2022-21914
Schwachstellen in Windows Remote Access Connection Manager ermöglichen PrivilegieneskalationCVE-2022-21888
Schwachstelle in Windows Modern Execution Server ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-21892 CVE-2022-21928 CVE-2022-21958 CVE-2022-21959 CVE-2022-21960 CVE-2022-21961 CVE-2022-21962 CVE-2022-21963
Schwachstellen in Windows Resilient File System (ReFS) ermöglichen Ausführen beliebigen ProgrammcodesCVE-2022-21893
Schwachstelle in Remote Desktop Protocol ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-21894
Schwachstelle in Secure Boot ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-21895 CVE-2022-21919
Schwachstellen in Windows User Profile Service ermöglichen PrivilegieneskalationCVE-2022-21896
Schwachstelle in Windows DWM Core Library ermöglicht PrivilegieneskalationCVE-2022-21897 CVE-2022-21916
Schwachstellen in Windows Common Log File System Driver ermöglichen PrivilegieneskalationCVE-2022-21898 CVE-2022-21912
Schwachstellen in DirectX Graphics Kernel ermöglichen Ausführen beliebigen ProgrammcodesCVE-2022-21899
Schwachstelle in Windows Extensible Firmware Interface ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-21900 CVE-2022-21905
Schwachstellen in Windows Hyper-V ermöglichen Umgehen von SicherheitsvorkehrungenCVE-2022-21901
Schwachstelle in Windows Hyper-V ermöglicht PrivilegieneskalationCVE-2022-21903
Schwachstelle in Windows GDI ermöglicht PrivilegieneskalationCVE-2022-21904
Schwachstelle in Windows GDI ermöglicht Ausspähen von InformationenCVE-2022-21906
Schwachstelle in Windows Defender Application Control ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-21907
Schwachstelle in HTTP Protocol Stack ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-21908
Schwachstelle in Windows Installer ermöglicht PrivilegieneskalationCVE-2022-21910
Schwachstelle in Microsoft Cluster Port Driver ermöglicht PrivilegieneskalationCVE-2022-21913
Schwachstelle in Local Security Authority (Domain Policy) ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-21917
Schwachstelle in HEVC Video Extensions ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-21918
Schwachstelle in DirectX Graphics Kernel ermöglicht Denial-of-Service-AngriffCVE-2022-21920
Schwachstelle in Windows Kerberos ermöglicht PrivilegieneskalationCVE-2022-21921
Schwachstelle in Windows Defender Credential Guard ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-21922
Schwachstelle in Remote Procedure Call Runtime ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-21924
Schwachstelle im Workstation Service Remote Protocol ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-21925
Schwachstelle in Windows BackupKey Remote Protocol ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2022-21964
Schwachstelle in Remote Desktop Licensing Diagnoser ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.