[English]Zum 11. Januar 2022 hat Microsoft eine Reihe Sicherheitsupdates für Windows und Office freigegeben, die Schwachstellen beseitigen sollen. Einige dieser Updates führten aber zu Problemen, so dass Funktionen in Windows gestört wurden. Am 14. Januar 2022 hat Microsoft eine Liste mit Update-Revisionen freigegeben, die ich im Nachgang zum Januar 2022-Patchday kurz aufbereiten möchte.
Anzeige
Ich habe die Informationen von Microsoft zu den nachfolgend aufgeführten CVEs herausgezogen, deren Beschreibungen nochmals gravierend geändert wurden.
- CVE-2022-21840
- CVE-2022-21841
- CVE-2022-21880
- CVE-2022-21882
- CVE-2022-21893
- CVE-2022-21907
- CVE-2022-21913
Nachfolgend finden sich Details zu den betreffenden Schwachstellen. Diese geben einen guten Überblick, was an gravierenden Schwachstellen zum Januar 2022-Patchday relevant ist und was es für Konsequenzen hat, wenn die Januar 2022-Sicherheitsupdates nicht installiert werden können.
Office-Schwachstellen (Mac)
Für die im Support befindlichen Office Installationen (nur Mac) wurden im Januar 2022 folgende Schwachstellen geschlossen.
CVE-2022-21840: Microsoft Office RCE
Bei CVE-2022-21840 handelt es sich um eine als kritisch eingestufte Remote Code Execution (RCE) Schwachstelle in Microsoft Office for Mac. Hier hat Microsoft ein Update bereitgestellt und empfiehlt die zeitnahe Installation der Updates. Für die Windows-Schiene können Office-Nutzer diese Schwachstelle ignorieren, da diese dort nicht vorhanden ist.
Anzeige
CVE-2022-21841: Microsoft Excel RCE
Auch die Schwachstelle CVE-2022-21841 steckt in Microsoft Excel for Mac und ermöglicht eine Remote Code Execution. Microsoft stellt für die als wichtig (important) beschriebene Schwachstelle Sicherheitsupdates bereit, die von Mac-Anwendern zeitnah installiert werden sollen.
Windows-Schwachstellen
Wichtiger sind für die Leserschaft des Blogs eher die Schwachstellen in den noch unterstützten Windows-Versionen, die durch die Januar 2022-Updates geschlossen werden. Nutzer, die mit der Update-Installation in Probleme laufen und diese Patches deinstallieren müssen, finden nachfolgend einen Übersicht über die Details.
CVE-2022-21880:Windows GDI+ Informationsoffenlegung
Bei CVE-2022-21880 handelt es sich um eine als wichtig eingestufte Schwachstelle in den Windows GDI+-Funktionen, die eine Informationsoffenlegung (Information Disclosure) ermöglicht. Microsoft schätzt die Ausnutzung als wenig wahrscheinlich ein.
CVE-2022-21882: Win32k Privilege Escalation
In Win32k ermöglicht die Schwachstelle CVE-2022-21882 eine Erhöhung der Privilegien. Ein lokaler, authentifizierter Angreifer kann durch die Schwachstelle im Win32k.sys-Treiber erweiterte lokale System- oder Administratorrechte erlangen. Wegen der Einschränkungen wird diese Schwachstelle nur als wichtig (important) eingestuft. Microsoft ist eine begrenzte Anzahl an Angriffen bekannt, die versuchen, diese Sicherheitslücke auszunutzen.
CVE-2022-21893: Remote Desktop Protocol RCE
Bei CVE-2022-21893 handelt es sich um eine Remote Code Execution-Schwachstelle im Remote Desktop Protocol, die von Microsoft als wichtig (important) eingestuft wird. Ein Angreifer müsste einen Benutzer gezielt davon überzeugen, eine Verbindung zu einem bösartigen RDP-Server herzustellen. Nach der Verbindung könnte der bösartige Server den Inhalt der Zwischenablage und des Dateisystems des Opfers lesen oder manipulieren. Microsoft stuft die Ausnutzbarkeit als wenig wahrscheinlich ein.
CVE-2022-21907: HTTP Protocol Stack RCE
Die Schwachstelle CVE-2022-21907 steckt im HTTP Protocol Stack von Windows und wird als kritisch eingestuft. Die Remote Code Execution-Schwachstelle hat schon Wellen geschlagen, da sie als "wormable" (wurmfähig) gilt, also eine Ausbreitung eines Angriffs in einem Netzwerk ermöglicht. In den meisten Szenarien könnte ein nicht authentifizierter Angreifer ein speziell präpariertes Paket an einen Zielserver senden, der den HTTP-Protokollstapel (http.sys) zur Verarbeitung von Paketen verwendet.
Die Schwachstelle wurde zwar durch die Updates für Windows 10/Windows Server (Patchday: Windows 10-Updates (11. Januar 2022)) zum 11. Januar 2022 geschlossen. Das Problem ist, dass diese Updates in bestimmten Szenarien wegen der im Artikel Microsoft Patchday-Probleme Jan. 2022: Bugs bestätigt, Updates zurückgezogen? beschriebenen Kollateralschäden nicht installiert werden können.
Hier bleibt Betroffenen nur auf Revisions-Updates von Microsoft zu warten. Eine gute Nachricht gibt es aber, denn Windows Server 2019 und Windows 10 Version 1809 sind standardmäßig nicht anfällig. Sofern Sie die HTTP-Trailer-Unterstützung nicht über den Registrierungswert "EnableTrailerSupport" aktiviert haben, sind die Systeme nicht angreifbar. Microsoft empfiehlt, den DWORD-Registrierungswert "EnableTrailerSupport", falls vorhanden unter:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
zu löschen. Diese Abschwächung gilt nur für Windows Server 2019 und Windows 10, Version 1809 und gilt nicht für Windows 20H2 und neuer.
CVE-2022-21913: Local Security Authority (Domain Policy) Remote Protocol
Die Schwachstelle CVE-2022-21913 ermöglicht einen Security Feature Bypass, also eine Umgehung einer Sicherheitsrichtlinie. Microsoft klassifiziert das Ganze aber nur als wichtig (important) und sieht die Ausnutzbarkeit als wenig wahrscheinlich an. Microsoft hat den Supportbeitrag KB5010265 mit weiteren Informationen dazu veröffentlicht.
Geht man die obige Liste durch, erscheint mir die HTTP Protocol Stack-Schwachstelle CVE-2022-21907 als am kritischsten. Hier sollten Administratoren prüfen, ob die beschriebene Maßnahme zum Deaktivieren des EnableTrailerSupport genutzt werden kann. Bei der Exchange Schwachstelle CVE-2022-21846 kann ja das Sicherheitsupdate Januar 2022 installiert werden (Sicherheitsupdates für Exchange Server (Januar 2022)). Hier sind mir bisher keine Kollateralschäden bekannt.
Der Defender-Bug
Seit mindestens acht Jahren gibt es einen Bug im Microsoft Defender, der es Malware ermöglicht, die von der Überprüfung ausgeschlossene Orte abzufragen und dort Malware abzuspeichern. Das Problem betrifft auch Windows 10 21H1 und Windows 10 21H2, wie die Kollegen von Bleeping Computer in diesem Artikel beschreiben.
Ähnliche Artikel:
Windows Server: Notfall-Update fixt Remote Desktop-Probleme (4.1.2022)
Microsoft Office Updates (4. Januar 2022)
Microsoft Security Update Summary (11. Januar 2022)
Patchday: Windows 8.1/Server 2012 R2-Updates (11. Januar 2022), mögliche Boot-Probleme
Patchday: Windows 10-Updates (11. Januar 2022)
Patchday: Windows 11-Updates (11.Januar 2022)
Patchday: Updates für Windows 7/Server 2008 R2 (11. Januar 2022)
Patchday: Microsoft Office Updates (11. Januar 2022)
Windows Server: Januar 2022-Sicherheitsupdates verursachen Boot-Schleife
Windows VPN-Verbindungen (L2TP over IPSEC) nach Januar 2022-Update kaputt
Windows Server 2012/R2: Januar 2022 Update KB5009586 brickt Hyper-V Host
Microsoft bestätigte Probleme in allen Access-Versionen nach Dezember 2021-Update
Status des Access-Bugs nach Dezember 2021-Update (Stand 3.1.2022)
Access-Lock-Bug: Wo die Fixes von Dezember 2021 versagen
Anzeige
Wie seht ihr den akteuellen Status bei den Server-Updates? Die Patches scheinen aktuell nicht zurück gezogen zu sein, das DC und HyperV-Problem ist teils dokumentiert, aber zu ReFS aktuell kein Wort. Macht ihr beim Patchen weiter bzw. seit schon durch, außer vielleicht DCs, HyperV und Systeme auf denen ReFS läuft?
Wir haben das Wochenende erstmal abgewartet, ob es neue Infos oder korrigierte Updates gibt. Wenn bis Mitte der Woche nichts Neues kommt, dann werden wir die weniger kritischen System wohl patchen. Für das Update auf den DCs werden wir auf jeden Fall "Luft" einplanen, so dass man das Ganze in Ruhe wieder zurückdrehen kann, sollte der Fehler auftreten.
Gruß Singlethreaded
Alles Server 2016, virtuell auf KVM (QEMU/Libvirt):
1 * WSUS: gepatcht
1 * Terminal Server: wird wohl noch gepatcht
1 * DC: ich tendiere zu patchen, und restore Backup, wenn der zickt.
ReFS macht hier nichts
Ich sehe das wie Kollege SingleThreaded. Über das Wochenende haben wir abgewartet, ob evtl. neue Revisionen der Updates rausgegeben werden.
Für Dienstag Abend ist Zeit für die Nicht-DC Server Updates eingeplant, am Mittwoch für die DC.
Alles läuft unter VMware als VM, Snapshots sind inzwischen neben Backups das wichtigste Hilfsmittel bei Windows Server Updates…
Ein Kunde hat am Sonntag 16.01.2022 selbständig ein Update für Server 2012R2 versucht und ist prompt in den Hyper-V-Servicefehler gelaufen.
Ganz toll, MS! Meine eigene Testumgebung (S2019) hat allerdings keine Probleme damit.
Wir haben unsere Domain Controller bislang mal außen vor gelassen in der Hoffnung, dass Microsoft daran arbeitet. Aber bislang hält sich Redmond ja eher bedeckt mit Infos, wie es nun weitergeht… Also bis zu den Updates im Februar wollen wir eigentlich nicht warten aber was bleibt uns anderes übrig? :/
Hier hatte es einen der drei DC erwischt, die beiden anderen laufen noch ohne den Patch. Rückrollen hat funktioniert, sodass wir aktuell auf "Korrektur" warten.
Und da denkt man als Sysadmin könne man erholt ins Jahr 2022 starten. Bin gespannt auf die Revisions Updates, wo würden diese als erstes veröffentlich werden? Besten dank wie immer an borncity und die Community für die vielen hilfreichen Informationen.
Hat jemand eigentlich noch Probleme mit der Outlook-Suche? Bei uns tritt der Fehler immer noch auf trotz Januar Updates… nach dem Update hat er die Mails indiziert, mittlerweile passiert es aber wieder, dass eingegende Mails nicht gefunden werden. Problem wohl doch nicht ganz behoben.
Wir haben wieder Probleme mit der Outlook Suche!
Bei einer Kollegin, von der ich wusste, dass sie Probleme bei der Outlook Suche hatte, wurden am Mittwoch alle Updates (Win + Office) eingespielt.
Donnerstag ging die Suche dann wieder bei erwähnter Kollegin (und hatten das Thema eigentlich schon abgehakt).
Ich hatte hier auch Feedback gegeben…
Seit Freitag geht aber genau an diesem PC / bei der Kollegin die Suche im Outlook wieder nicht mehr.
Wir warten jetzt auf Rückmeldung weiterer Kollegen:innen.
Aber ich kapiere es noch nicht, warum es wieder funktionierte und nun doch wieder nicht…
Sind noch auf der Suche!
OOB Updates sind für heute Nachmittag (PST time) geplant
Siehe Health Dashboard aka.ms/wrh für die KBs wenn es soweit ist
OOB Updates sind da, siehe WRH (aka.ms/wrh)