Microsoft hat heute Software-Updates veröffentlicht, um Sicherheitslücken in seinen Windows-Betriebssystemen und zugehöriger Software zu schließen. Der relativ leichte Patch-Stapel dieses Monats ist erfrischend frei von Zero-Day-Bedrohungen oder sogar beängstigenden kritischen Schwachstellen. Aber es behebt vier Dutzend Fehler, darunter mehrere, von denen Microsoft sagt, dass sie wahrscheinlich bald von Malware oder Unzufriedenen ausgenutzt werden.
Während keiner der Patches Bugs behebt, die Microsofts schlechteste „kritische“ Bewertung erhalten haben, gibt es mehrere „Remote Code Execution“-Schwachstellen, von denen Redmond glaubt, dass sie ausgenutzt werden können. Darunter ist CVE-2022-22005, eine Schwachstelle in Microsofts Sharepoint Server-Versionen 2013-2019, die von jedem authentifizierten Benutzer ausgenutzt werden könnte.
„Die Schwachstelle erfordert, dass ein Angreifer authentifiziert wird, um sie auszunutzen, weshalb Microsoft sie wahrscheinlich nur als ‚Wichtig‘ bezeichnet hat“, sagte Allan Liska, Senior Security Architect bei Recorded Future. „Angesichts der Anzahl gestohlener Anmeldeinformationen, die auf Untergrundmärkten leicht erhältlich sind, könnte es jedoch trivial sein, sich authentifizieren zu lassen. Organisationen mit öffentlich zugänglichen SharePoint-Servern sollten die Implementierung dieses Patches priorisieren.“
Kevin Breen von Immersive Labs machte auf CVE-2022-21996 aufmerksam, eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Windows-Kernkomponente „Win32k“.
„Im Januar sahen wir CVE-2022-21882, eine Schwachstelle in Win32k, die aktiv in freier Wildbahn ausgenutzt wurde, was die CISA dazu veranlasste, eine Anweisung an alle Bundesbehörden herauszugeben, um die Anwendung von Patches anzuordnen“, sagte Breen. „Im Februar gibt es weitere Patches für die gleiche Schwachstelle in derselben Komponente. Aus den Release Notes geht nicht hervor, ob es sich um eine brandneue Schwachstelle handelt oder ob sie mit dem Update des Vormonats zusammenhängt. In jedem Fall haben wir gesehen, wie Angreifer diese Schwachstelle ausnutzen, sodass es sicherer ist, auf Nummer sicher zu gehen und diese schnell zu aktualisieren.“
Eine weitere Sicherheitslücke CVE-2022-21989 – im Windows-Kernel – war die einzige in diesem Monat behobene Schwachstelle, die vor heute öffentlich bekannt wurde.
„Trotz des Mangels an kritischen Fixes sollte man sich daran erinnern, dass Angreifer es lieben, Sicherheitslücken zur Erhöhung von Berechtigungen auszunutzen, von denen es diesen Monat 18 gibt“, sagte Greg Wiseman, Produktmanager bei Rapid7. „Schwachstellen in der Remote-Code-Ausführung müssen ebenfalls gepatcht werden, auch wenn sie nicht als ‚wurmfähig‘ gelten. In Bezug auf die Priorisierung sollten sich Verteidiger zunächst auf das Patchen von Serversystemen konzentrieren.“
Der Februar-Patchday wird Ihnen wieder einmal von Print Spooler präsentiert, der Windows-Komponente, die für die Verarbeitung von Druckaufträgen verantwortlich ist. Vier der in dieser Version behobenen Fehler beziehen sich auf unseren Freund Mr. Print Spooler. Im Juli 2021 veröffentlichte Microsoft eine Notfallkorrektur für einen Druckspooler-Fehler namens „PrintNightmare“, der aktiv ausgenutzt wurde, um Windows-PCs aus der Ferne zu gefährden. Redmond hat seitdem kontinuierlich Patches für diesen Dienst veröffentlicht.
Ein wichtiger Punkt, der diese Woche zu beachten ist, ist, dass Microsoft angekündigt hat, Internet-Makros standardmäßig in Office zu blockieren. Dies ist eine große Sache, da bösartige Makros, die in Office-Dokumenten versteckt sind, zu einer riesigen Angriffsquelle für Unternehmen geworden sind, und sie sind oft der erste Vektor für Ransomware-Angriffe.
Wie Andrew Cunningham für Ars Technica schreibt, werden diese Makros unter der neuen Regelung, wenn Dateien, die Makros verwenden, aus dem Internet heruntergeladen werden, nun standardmäßig vollständig deaktiviert. Die Änderung wird auch für alle derzeit unterstützten eigenständigen Versionen von Office aktiviert, einschließlich der Versionen 2021, 2019, 2016 und 2013.
„Aktuelle Versionen der Software bieten ein Warnbanner für diese Art von Dateien, die durchgeklickt werden können, aber die neue Version des Banners bietet keine Möglichkeit, die Makros zu aktivieren“, schrieb Cunningham. „Die Änderung wird ab April in der Vorschau angezeigt, bevor sie ab Juni für alle Benutzer der kontinuierlich aktualisierten Microsoft 365-Version von Office eingeführt wird.“
Die Patch-Veröffentlichung im Januar war etwas schwerer und rockiger als die meisten anderen, da Microsoft gezwungen war, mehrere Patches erneut herauszugeben, um unerwartete Probleme zu beheben, die durch die Updates verursacht wurden. Breen sagte, dass die vergleichsweise geringe Belastung im Februar den Systemadministratoren zwar etwas Luft zum Atmen geben sollte, aber nicht als Entschuldigung dafür angesehen werden sollte, Updates zu überspringen.
„Aber es unterstreicht, wie wichtig es ist, Patches in einer Staging-Umgebung zu testen oder eine gestaffelte Einführung zu verwenden, und warum die Überwachung auf nachteilige Auswirkungen immer ein wichtiger Schritt in Ihrer Patching-Richtlinie sein sollte“, sagte Breen.
Einen vollständigen Überblick über alle Patches, die heute von Microsoft veröffentlicht und nach Schweregrad und anderen Metriken indiziert sind, finden Sie in der immer nützlichen Patchday-Zusammenfassung des SANS Internet Storm Center. Und es ist keine schlechte Idee, die Aktualisierung ein paar Tage zu verschieben, bis Microsoft etwaige Fehler in den Updates ausarbeitet: AskWoody.com hat normalerweise die Fakten zu allen Patches, die Windows-Benutzern Probleme bereiten könnten.