2022-1045: Microsoft Windows: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-05-11 19:02)

Neues Advisory

Version 2 (2022-05-20 12:42)

Microsoft informiert mit einer Aktualisierung des Sicherheitshinweises zur Schwachstelle CVE-2022-30138 über Sicherheitsupdates für die unterschiedlichen Betriebssysteme und -versionen. Wie das IT-Magazin Bleeping Computer berichtet, hat Microsoft in Reaktion auf Probleme bei der Windows AD Authentisierung, die nach Installation von Updates zur Behebung der Schwachstelle CVE-2022-26925 auf Domain Controllern aufgetreten waren, außer der Reihe kumulative Updates für Domain Controller mit Windows Server 2022 (KB5015013), Windows Server, Version 20H2 (KB5015020), Windows Server 2019 (KB5015018) und Windows Server 2016 (KB5015019) sowie Standalone Updates für Windows Server 2012 R2 (KB5014986), Windows Server 2012 (KB5014991), Windows Server 2008 R2 SP1 (KB5014987) und Windows Server 2008 SP2 (KB5014990) veröffentlicht, um das Problem zeitnah zu adressieren. Client-Windows-Geräte und Nicht-Domänencontroller-Windows-Server sind nicht betroffen. Die Updates sind nicht über Windows Updates, sondern nur über Windows Update Katalog verfügbar und müssen manuell in Windows Server Update Services (WSUS) und Microsoft Endpoint Configuration Manager importiert werden (siehe Referenzen).

Version 3 (2023-04-12 10:20)

Microsoft informiert darüber, dass zur Adressierung der Schwachstelle CVE-2022-26923 mit den Updates im April 2023 der 'Disabled'-Modus für Domain Controller nicht mehr durch Verwendung einer Registry-Key-Einstellung gesetzt werden kann. Für weitere Informationen wird auf den Microsoft Support Artikel KB5014754 (Änderungen an der zertifikatbasierten Authentifizierung auf Windows-Domänencontrollern) verwiesen (siehe Referenz).

Betroffene Software

Systemsoftware

Betroffene Plattformen

Microsoft

Beschreibung:

Eine Vielzahl von Schwachstellen in den Windows-Komponenten LDAP, Remote Desktop Protocol, PlayToManager, Remote Desktop Client, Remote Procedure Call Runtime, Hyper-V, Point-to-Point Tunneling Protocol, ALPC, Active Directory Domain Services, Local Security Authority (LSA), dem Windows-Adressbuch, Remote Access Connection Manager, Kerberos, Storage Spaces Direct, NTFS, WLAN-AutoConfig-Dienst, Server-Dienst, Graphics Component, Failover Cluster, Windows Remote Access Connection Manager, Print Spooler, Media Foundation, Hyper-V Shared Virtual Disk, Digital Media Receiver, Fax Service, Kernel, Clustered Shared Volume, WLAN AutoConfig Service, Push Notifications Apps, Tablet Windows User Interface Application Core, BitLocker und Windows Cluster Shared Volume können von einem Angreifer aus der Ferne ausgenutzt werden, um Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Man-in-the-Middle (MitM)-Angriff durchzuführen. Ein Angreifer kann ebenfalls mehrere Schwachstellen im benachbarten Netzwerk ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren und beliebigen Programmcode auszuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann eine letzte Schwachstelle ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers und können Einfluss auf andere Komponenten haben.

Besonders im Fokus steht in diesem Monat die Schwachstelle CVE-2022-24521 in der Windows Local Security Authority (LSA), die in einem Man-in-the-Middle (MitM)-Angriff 'Windows LSA Spoofing' erlaubt und bereits aktiv ausgenutzt wird. In Verbindung mit einem NTLM-Relay-Angriff würde die Risikobewertung einen CVSS-Score von 9.8 ergeben.

Im Rahmen des Patchtages im Mai 2022 stehen Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Diese können im Microsoft Security Update Guide über die Kategorie 'Windows' identifiziert werden. Die (kostenpflichtigen) Updates für Windows 7 und Windows Server 2008 finden sich in der Kategorie Extended Security Updates (ESU).

Microsoft informiert mit einer Aktualisierung des Security Advisory ADV990001 über die neuesten Servicing Stack Updates (SSU) für die unterschiedlichen Betriebssysteme und -versionen und weist darauf hin, dass diese unbedingt installiert werden müssen.

Schwachstellen:

CVE-2022-21972

Schwachstelle in Microsoft Windows ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-22011

Schwachstelle in Windows-Grafikkomponente ermöglicht Ausspähen von Informationen

CVE-2022-22012 CVE-2022-29130

Schwachstellen in Windows LDAP ermöglichen Ausführen beliebigen Programmcodes

CVE-2022-22013 CVE-2022-22014

Schwachstellen in Windows LDAP ermöglichen Ausführen beliebigen Programmcodes

CVE-2022-22015

Schwachstelle in Remote Desktop Protocol ermöglicht Ausspähen von Informationen

CVE-2022-22016

Schwachstelle in Windows PlayToManager ermöglicht Privilegieneskalation

CVE-2022-22017

Schwachstelle in Windows Remote Desktop Client ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-22019

Schwachstelle in Remote Procedure Call Runtime ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-22713

Schwachstelle in Windows Hyper-V ermöglicht Ausspähen von Informationen

CVE-2022-23270

Schwachstelle in Point-to-Point Tunneling Protocol ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-23279

Schwachstelle in Windows ALPC ermöglicht Privilegieneskalation

CVE-2022-24466

Schwachstelle in Windows Hyper-V ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-26913

Schwachstelle in Windows Authentifizierung ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-26923

Schwachstelle in Active Directory Domain Services ermöglicht Privilegieneskalation

CVE-2022-26925

Schwachstelle in Windows Local Security Authority (LSA) ermöglicht ermöglicht Man-in-the-Middle-Angriff

CVE-2022-26926

Schwachstelle in Windows-Adressbuch ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-26927

Schwachstelle in Windows-Grafikkomponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-26930

Schwachstelle in Windows Remote Access Connection Manager ermöglicht Ausspähen von Informationen

CVE-2022-26931

Schwachstelle in Windows Kerberos ermöglicht Privilegieneskalation

CVE-2022-26932

Schwachstelle in Storage Spaces Direct ermöglicht Privilegieneskalation

CVE-2022-26933

Schwachstelle in Windows NTFS ermöglicht Ausspähen von Informationen

CVE-2022-26934 CVE-2022-29112

Schwachstellen in Windows-Grafikkomponente ermöglichen Ausspähen von Informationen

CVE-2022-26935

Schwachstelle in Windows WLAN-AutoConfig-Dienst ermöglicht Ausspähen von Informationen

CVE-2022-26936

Schwachstelle in Windows Server-Dienst ermöglicht Ausspähen von Informationen

CVE-2022-26937

Schwachstelle in Windows-Netzwerkdateisystem ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-26938 CVE-2022-26939

Schwachstellen in Storage Spaces Direct ermöglichen Privilegieneskalation

CVE-2022-26940

Schwachstelle in Remote Desktop Protocol ermöglicht Ausspähen von Informationen

CVE-2022-29102

Schwachstelle in Failover Cluster ermöglicht Ausspähen von Informationen

CVE-2022-29103

Schwachstelle in Windows Remote Access Connection Manager ermöglicht Privilegieneskalation

CVE-2022-29104 CVE-2022-29132

Schwachstellen in Windows Print Spooler ermöglichen Privilegieneskalation

CVE-2022-29105

Schwachstelle in Microsoft Windows Media Foundation ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-29106

Schwachstelle in Windows Hyper-V Shared Virtual Disk ermöglicht Privilegieneskalation

CVE-2022-29113

Schwachstelle in Windows Digital Media Receiver ermöglicht Privilegieneskalation

CVE-2022-29114 CVE-2022-29140

Schwachstellen in Windows Print Spooler ermöglichen Ausspähen von Informationen

CVE-2022-29115

Schwachstelle in Windows Fax Service ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-29116

Schwachstelle in Windows Kernel ermöglicht Ausspähen von Informationen

CVE-2022-29120 CVE-2022-29122 CVE-2022-29123 CVE-2022-29134

Schwachstellen in Windows Clustered Shared Volume ermöglichen Ausspähen von Informationen

CVE-2022-29121

Schwachstelle in WLAN AutoConfig Service ermöglicht Denial-of-Service-Angriff

CVE-2022-29125

Schwachstelle in Windows Push Notifications Apps ermöglicht Privilegieneskalation

CVE-2022-29126

Schwachstelle in Tablet Windows User Interface Application Core ermöglicht Privilegieneskalation

CVE-2022-29127

Schwachstelle in BitLocker ermöglicht Ausspähen von Informationen

CVE-2022-29128 CVE-2022-29129 CVE-2022-29131 CVE-2022-29137

Schwachstellen in Windows LDAP ermöglichen Ausführen beliebigen Programmcodes

CVE-2022-29133

Schwachstelle in Windows Kernel ermöglicht Privilegieneskalation

CVE-2022-29135 CVE-2022-29150 CVE-2022-29151

Schwachstellen in Windows Cluster Shared Volume (CSV) ermöglichen Privilegieneskalation

CVE-2022-29138

Schwachstelle in Windows Clustered Shared Volume ermöglicht Privilegieneskalation

CVE-2022-29139

Schwachstelle in Windows LDAP ermöglicht Ausspähen von Informationen

CVE-2022-29141

Schwachstelle in Windows LDAP ermöglicht Privilegieneskalation

CVE-2022-29142

Schwachstelle in Windows Kernel ermöglicht Privilegieneskalation

CVE-2022-30138

Schwachstelle in Microsoft Windows Print Spooler ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.