Microsoft hat am Dienstag seine monatlichen Sicherheitsupdates mit Korrekturen für 51 Schwachstellen in der gesamten Softwarepalette von Windows, Office, Teams, Azure Data Explorer, Visual Studio Code und anderen Komponenten wie Kernel und Win32k veröffentlicht.
Von den 51 behobenen Schwachstellen werden 50 als wichtig und eine als mittelschwer eingestuft. Damit ist es eines der wenigen Patch Tuesday Updates, das keine Schwachstellen behebt, die als kritisch eingestuft werden. Hinzu kommen noch 19 weitere Schwachstellen, die das Unternehmen in seinem Chromium-basierten Edge-Browser behoben hat.
Keine der Sicherheitslücken wird als aktiv ausgenutzt aufgeführt, während eine der Schwachstellen – CVE-2022-21989 (CVSS-Score: 7.8) – zum Zeitpunkt der Veröffentlichung als öffentlich bekannt gegebener Zero-Day eingestuft wurde. Die Schwachstelle betrifft einen Fehler bei der Privilegienerweiterung im Windows-Kernel, und Microsoft warnt vor möglichen Angriffen, die diese Schwachstelle ausnutzen.
„Um diese Schwachstelle erfolgreich auszunutzen, muss ein Angreifer vor der Ausnutzung zusätzliche Maßnahmen ergreifen, um die Zielumgebung vorzubereiten“, so das Unternehmen in seinem Advisory. „Ein erfolgreicher Angriff könnte von einem AppContainer mit niedrigen Privilegien aus erfolgen. Der Angreifer könnte seine Privilegien erhöhen und Code ausführen oder auf Ressourcen zugreifen, die eine höhere Integritätsstufe haben als die der AppContainer-Ausführungsumgebung.“
Ebenfalls behoben wurden eine Reihe von Sicherheitslücken zur Remotecodeausführung, die Windows DNS Server (CVE-2022-21984, CVSS-Score: 8.8), SharePoint Server (CVE-2022-22005, CVSS-Score: 8.8), Windows Hyper-V (CVE-2022-21995, CVSS-Score: 5.3) und HEVC Video Extensions (CVE-2022-21844, CVE-2022-21926 und CVE-2022-21927, CVSS-Score: 7.8) betreffen.
Das Sicherheitsupdate behebt außerdem eine Azure Data Explorer Spoofing-Schwachstelle (CVE-2022-23256, CVSS-Wert: 8.1), zwei Sicherheitsumgehungsschwachstellen, die jeweils Outlook für Mac (CVE-2022-23280, CVSS-Wert: 5.3) und OneDrive für Android (CVE-2022-23255, CVSS-Wert: 5.9) betreffen, sowie zwei Denial-of-Service-Schwachstellen in .NET (CVE-2022-21986, CVSS-Wert: 7.5) und Teams (CVE-2022-21965, CVSS-Wert: 7.5).
Microsoft hat außerdem mehrere Schwachstellen zur Erhöhung von Berechtigungen behoben – vier im Print Spooler-Dienst und eine im Win32k-Treiber (CVE-2022-21996, CVSS-Score: 7.8). Letztere wurde als „Exploitation More Likely“ (Ausnutzung wahrscheinlicher) eingestuft, da eine ähnliche Schwachstelle in derselben Komponente im letzten Monat gepatcht wurde (CVE-2022-21882) und seitdem aktiv angegriffen wird.
Die Updates kommen, nachdem der Tech-Gigant Ende letzten Monats eine Schwachstelle aus dem Jahr 2013 erneut veröffentlicht hat – ein Signaturvalidierungsproblem, das WinVerifyTrust (CVE-2013-3900) betrifft – und darauf hinweist, dass der Fix „als Opt-in-Funktion über die Registrierungsschlüssel-Einstellung verfügbar ist und auf unterstützten Windows-Editionen, die seit dem 10. Dezember 2013 veröffentlicht wurden, zur Verfügung steht“.
Dieser Schritt könnte eine Reaktion auf die laufende ZLoader-Malware-Kampagne sein, die, wie Check Point Research Anfang Januar aufdeckte, die Schwachstelle ausnutzte, um den Mechanismus zur Überprüfung von Dateisignaturen zu umgehen und Malware zu verbreiten, mit der Benutzerdaten und andere sensible Informationen abgefangen werden können.