2022-2429: Microsoft Windows: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2022-11-09 16:07)
- Neues Advisory
- Version 2 (2022-11-18 13:58)
- Microsoft stellt weitere Informationen zur Schwachstelle CVE-2022-37966 bereit. Nach Installation des Sicherheitsupdates vom 8. November 2022 auf Windows Domain Controllern kam es bei Computern, Diensten und GMSA-Konten zum Fehlschlagen der Kerberos-Authentifikation. Der Hersteller informiert nun über die Veröffentlichung von 'Out-of-band' Windows Updates über den Microsoft Update Catalog und verweist für weitere Informationen auf die FAQs-Sektion zur Schwachstelle CVE-2022-37966 und auf den Knowledge Base Artikel 'How to manage the Kerberos Protocol changes related to CVE-2022-37966' (siehe Referenz).
- Version 3 (2022-12-14 13:05)
- Microsoft informiert über die Veröffentlichung der Phase 2 von Sicherheitsupdates, um die Schwachstelle CVE-2022-37967 zu adressieren. Mit diesen Updates wird das Kerberos-Protokoll für Windows-Geräte auf 'Audit' geändert, indem Windows Domain Controller per Voreinstellung im 'Audit'-Modus sind. Der Hersteller verweist für weitere Informationen auf den Knowledge Base Artikel 'KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967' (siehe Referenz).
- Version 4 (2023-01-11 08:50)
- Microsoft informiert über die Veröffentlichung von Sicherheitsupdates anlässlich des Patchtags im Januar 2023, um die Schwachstelle CVE-2022-41113 umfassend zu adressieren, welche bei einer entsprechenden Systemkonfiguration automatisch installiert werden.
- Version 5 (2023-04-12 10:50)
- Microsoft informiert in einer Aktualisierung der Schwachstellenmeldung zu CVE-2022-38023 darüber, dass mit den Updates im April 2023 die Möglichkeit zur Deaktivierung des 'RPC Sealing' mittels des Wertes '0' für den 'RequireSeal' Registry-Unterschlüssels entfernt wird. Für weitere Informationen wird auf den Microsoft Support Artikel KB5021130 (So verwalten Sie die Netlogon-Protokolländerungen im Zusammenhang mit CVE-2022-38023) verwiesen (siehe Referenz).
- Version 6 (2023-06-14 09:16)
- Microsoft informiert über die Veröffentlichung der Phase 3 von Sicherheitsupdates, um die Schwachstelle CVE-2022-37967 zu adressieren. Mit diesen Updates wird die Möglichkeit entfernt, PAC Signaturen durch Setzen des Unterschlüssels 'KrbtgtFullPacSignature' auf den Wert '0' hinzuzufügen. Der Hersteller verweist für weitere Informationen auf den Knowledge Base Artikel 'KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967' (siehe Referenz).
- Version 7 (2023-07-12 11:29)
- Microsoft informiert über die Veröffentlichung der Phase 4 von Sicherheitsupdates, um die Schwachstelle CVE-2022-37967 zu adressieren. Mit diesen Updates wird die Möglichkeit entfernt, den Unterschlüssel 'KrbtgtFullPacSignature' auf den Wert '1' zu setzen und es wird der 'Enforcement'-Modus als Voreinstellung aktiviert (Default) (KrbtgtFullPacSignature = 3), welche durch Administratoren durch eine explizite Audit-Einstellung überschrieben werden kann. Der Hersteller verweist für weitere Informationen auf den Knowledge Base Artikel 'KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967' (siehe Referenz).
- Version 8 (2023-10-11 10:20)
- Microsoft informiert über die Veröffentlichung der Phase 5 von Sicherheitsupdates, um die Schwachstelle CVE-2022-37967 zu adressieren. Mit diesen Updates wird die Unterstützung für den Unterschlüssel (Registry Subkey) 'KrbtgtFullPacSignature' und den Audit-Modus entfernt. Außerdem werden nur noch Service-Tickets mit neuen PAC-Signaturen authentifiziert. Der Hersteller verweist für weitere Informationen auf den Knowledge Base Artikel 'KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967' (siehe Referenz).
Betroffene Software
Systemsoftware
Betroffene Plattformen
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen in den Windows-Komponenten Advanced Local Procedure Call (ALPC), Bind Filter Driver, BitLocker, CNG Key Isolation Service, Digital Media Receiver, Extensible File Allocation Table, GDI+, Graphics Component, Group Policy, HTTP.sys, Human Interface Device, Hyper-V, JScript9, JScript9 und Chakra, Kerberos, Mark of the Web, Microsoft DWM Core Library, Microsoft ODBC Driver, Netlogon RPC, Network Address Translation (NAT), Network Policy Server (NPS) RADIUS Protocol, Overlay Filter, Point-to-Point Tunneling Protocol, Print Spooler, Resilient File System (ReFS), Win32 Kernel Subsystem und Win32k sowie in AMD-Prozessoren aus der Ferne oder lokal ausnutzen, um Privilegien zu eskalieren und dadurch Administratorrechte oder SYSTEM-Privilegien zu erlangen, Informationen auszuspähen, beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen. Aus der Ferne ist darüber hinaus das Umgehen von Sicherheitsvorkehrungen möglich. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann eine Schwachstelle ausnutzen, um Zugriff auf verschlüsselte Daten zu erhalten.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.
Insgesamt stuft Microsoft sieben der 42 Schwachstellen als 'kritisch' ein: CVE-2022-37966, CVE-2022-37967 (Kerberos), CVE-2022-38015 (Hyper-V), CVE-2022-41039, CVE-2022-41044 und CVE-2022-41088 (Windows Point-to-Point Tunneling Protocol) sowie CVE-2022-41118 (Windows Scripting Languages).
Besonders im Fokus stehen in diesem Monat die Schwachstellen CVE-2022-41073 (Windows Print Spooler), CVE-2022-41091 (Mark of the Web), CVE-2022-41125 (CNG Key Isolation Service) und CVE-2022-41128 (JScript9), da diese bereits aktiv ausgenutzt werden.
Darüber hinaus sind die Protokoll-Schwachstellen in Kerberos und NetLogon besonders zu beachten. Microsoft implementiert hier Änderungen an den Protokollen, die zur vollständigen Behebung der Schwachstellen CVE-2022-37967 und CVE-2022-38023 zusätzlich zu den Patches umgesetzt werden müssen. Der Hersteller stellt dazu Informationen bereit.
Im Rahmen des Patchtags im November 2022 stehen Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Diese können im Microsoft Security Update Guide über die Kategorie 'Windows' identifiziert werden. Die (kostenpflichtigen) Updates für Windows 7 und Windows Server 2008 finden sich in der Kategorie Extended Security Updates (ESU). Windows 7 und Windows Server 2008 werden nach Januar 2023 auch nicht mehr über ESU unterstützt.
Das Security Advisory ADV990001 mit den neuesten Servicing Stack Updates (SSU) für die unterschiedlichen Betriebssysteme und -versionen wurde im November bisher nicht aktualisiert.
Schwachstellen:
CVE-2022-23824
Schwachstelle in AMD-Prozessoren ermöglicht Ausspähen von InformationenCVE-2022-37966
Schwachstelle in Windows Kerberos ermöglicht Erlangen von AdministratorrechtenCVE-2022-37967
Schwachstelle in Windows Kerberos ermöglicht Erlangen von AdministratorrechtenCVE-2022-37992
Schwachstelle in Windows Group Policy ermöglicht Erlangen von AdministratorrechtenCVE-2022-38015
Schwachstelle in Hyper-V ermöglicht Denial-of-Service-AngriffCVE-2022-38023
Schwachstelle in Netlogon RPC ermöglicht Erlangen von AdministratorrechtenCVE-2022-41039 CVE-2022-41044 CVE-2022-41088
Schwachstellen in Windows Point-to-Point Tunneling Protocol ermöglichen Ausführen beliebigen ProgrammcodesCVE-2022-41045 CVE-2022-41093 CVE-2022-41100
Schwachstellen in Windows Advanced Local Procedure Call (ALPC) ermöglichen Erlangen von AdministratorrechtenCVE-2022-41047 CVE-2022-41048
Schwachstellen in Microsoft ODBC Driver ermöglichen Ausführen beliebigen ProgrammcodesCVE-2022-41049 CVE-2022-41091
Schwachstellen in Windows Mark of the Web ermöglichen Umgehen von SicherheitsvorkehrungenCVE-2022-41050
Schwachstelle in Windows Extensible File Allocation Table ermöglicht Erlangen von AdministratorrechtenCVE-2022-41052
Schwachstelle in Windows Graphics Component ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-41053
Schwachstelle in Windows Kerberos ermöglicht Denial-of-Service-AngriffCVE-2022-41054
Schwachstelle in Windows Resilient File System (ReFS) ermöglicht Erlangen von AdministratorrechtenCVE-2022-41055
Schwachstelle in Windows Human Interface Device ermöglicht Ausspähen von InformationenCVE-2022-41056
Schwachstelle in Network Policy Server (NPS) RADIUS Protocol ermöglicht Denial-of-Service-AngriffCVE-2022-41057
Schwachstelle in HTTP.sys ermöglicht Erlangen von AdministratorrechtenCVE-2022-41058
Schwachstelle in Windows Network Address Translation (NAT) ermöglicht Denial-of-Service-AngriffCVE-2022-41073
Schwachstelle in Windows Print Spooler ermöglicht Erlangen von AdministratorrechtenCVE-2022-41086
Schwachstelle in Windows Group Policy ermöglicht Erlangen von AdministratorrechtenCVE-2022-41090 CVE-2022-41116
Schwachstellen in Windows Point-to-Point Tunneling Protocol ermöglichen Denial-of-Service-AngriffCVE-2022-41092 CVE-2022-41109
Schwachstellen in Win32k ermöglichen PrivilegieneskalationCVE-2022-41095
Schwachstelle in Windows Digital Media Receiver ermöglicht Erlangen von AdministratorrechtenCVE-2022-41096
Schwachstelle in Microsoft DWM Core Library ermöglicht Erlangen von AdministratorrechtenCVE-2022-41097
Schwachstelle in Network Policy Server (NPS) RADIUS Protocol ermöglicht Ausspähen von InformationenCVE-2022-41098
Schwachstelle in Windows GDI+ ermöglicht Ausspähen von InformationenCVE-2022-41099
Schwachstelle in BitLocker ermöglicht Ausspähen von InformationenCVE-2022-41101 CVE-2022-41102
Schwachstellen in Windows Overlay Filter ermöglichen Erlangen von AdministratorrechtenCVE-2022-41113
Schwachstelle in Win32 Kernel Subsystem ermöglicht Erlangen von AdministratorrechtenCVE-2022-41114
Schwachstelle in Windows Bind Filter Driver ermöglicht Erlangen von AdministratorrechtenCVE-2022-41118
Schwachstelle in JScript9 und Chakra ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-41125
Schwachstelle in CNG Key Isolation Service ermöglicht Erlangen von AdministratorrechtenCVE-2022-41128
Schwachstelle in JScript9 ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-21712
Schwachstelle in Windows Point-to-Point Tunneling Protocol ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.