Microsoft hat im Rahmen seiner Patch Tuesday-Updates offiziell Korrekturen für eine aktiv ausgenutzte Windows Zero-Day-Schwachstelle namens Follina veröffentlicht.
Außerdem hat der Tech-Riese 55 weitere Schwachstellen behoben, von denen drei als kritisch, 51 als wichtig und eine als mittelschwer eingestuft wurden. Unabhängig davon wurden fünf weitere Schwachstellen im Microsoft Edge-Browser behoben.
Der Zero-Day-Bug mit der Bezeichnung CVE-2022-30190 (CVSS-Score: 7.8) bezieht sich auf eine Sicherheitslücke bei der Remotecodeausführung, die das Windows Support Diagnostic Tool (MSDT) betrifft, wenn es über das URI-Protokollschema „ms-msdt:“ aus einer Anwendung wie Word aufgerufen wird.
Die Schwachstelle kann auf triviale Weise mit einem speziell gestalteten Word-Dokument ausgenutzt werden, das eine bösartige HTML-Datei über die Remote-Vorlagenfunktion von Word herunterlädt und lädt. Die HTML-Datei ermöglicht es dem Angreifer schließlich, PowerShell-Code in Windows zu laden und auszuführen.
„Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen“, so Microsoft in einem Advisory. „Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem Kontext erstellen, den die Rechte des Benutzers erlauben.
Ein entscheidender Aspekt von Follina ist, dass für die Ausnutzung der Schwachstelle keine Makros benötigt werden, so dass ein Angreifer seine Opfer nicht dazu bringen muss, Makros zu aktivieren, um den Angriff auszulösen.
Seit dem Bekanntwerden der Schwachstelle Ende letzten Monats wurde sie von verschiedenen Bedrohungsakteuren ausgenutzt, um eine Vielzahl von Schadprogrammen wie AsyncRAT, QBot und andere Informationsdiebe abzusetzen. Es gibt Hinweise darauf, dass Follina mindestens seit dem 12. April 2022 in freier Wildbahn missbraucht wird.
Neben CVE-2022-30190 behebt das kumulative Sicherheitsupdate auch mehrere Schwachstellen zur Remotecodeausführung in Windows Network File System (CVE-2022-30136), Windows Hyper-V (CVE-2022-30163), Windows Lightweight Directory Access Protocol, Microsoft Office, HEVC Video Extensions und Azure RTOS GUIX Studio.
Ein weiterer erwähnenswerter Sicherheitsmangel ist CVE-2022-30147 (CVSS-Score: 7.8), eine Schwachstelle mit erhöhten Rechten, die Windows Installer betrifft und von Microsoft als „Exploitation More Likely“ eingestuft wurde.
„Sobald sich ein Angreifer Zugang verschafft hat, kann er seine Rechte auf die Stufe eines Administrators erhöhen und so Sicherheitstools deaktivieren“, sagte Kev Breen, Director of Cyber Threat Research bei Immersive Labs, in einer Stellungnahme. „Im Falle eines Ransomware-Angriffs verschaffen sie sich so Zugang zu sensibleren Daten, bevor sie die Dateien verschlüsseln.
Die neueste Runde von Patches enthält zum ersten Mal seit Januar 2022 keine Updates für die Print Spooler Komponente. Außerdem hat Microsoft angekündigt, die Unterstützung für den Internet Explorer 11 ab dem 15. Juni 2022 in den Windows 10 Semi-Annual Channels und den Windows 10 IoT Semi-Annual Channels offiziell einzustellen.
Software-Patches von anderen Anbietern
Neben Microsoft haben auch andere Hersteller seit Anfang des Monats Sicherheitsupdates veröffentlicht, um verschiedene Schwachstellen zu beheben, darunter –