Microsoft Security Update Summary (11. Oktober 2022)

[English]Am 11. Oktober 2022 hat Microsoft Sicherheitsupdates für Windows-Clients und -Server, für Office usw. – sowie für weitere Produkte  – veröffentlicht. Die Sicherheitsupdates beseitigen 84 Schwachstellen, davon 13 kritisch und eine 0-day-Schwachstelle. Unter anderem werden eine Drucker-Schwachstelle in Windows, und eine Active Directory Certificate Services-Schwachstelle korrigiert – beide als kritisch eingestuft. Nachfolgend findet sich ein kompakter Überblick über diese Updates, die zum Patchday freigegeben wurden.

Eine Liste der Updates finden Sie auf dieser Microsoft-Seite. Details zu den Update-Paketen für Windows, Office etc. sind in separaten Blogbeiträgen verfügbar.

Hinweise zu den Updates

Windows 10 Version 20H2 bis 21H2 verwenden einen gemeinsamen Kern und besitzen einen identischen Satz von Systemdateien. Daher werden für diese Windows 10 Versionen die gleichen Sicherheitsupdate ausgeliefert. Informationen zur Aktivierung der Features von Windows 10, welches durch ein Enablement Package-Update erfolgt, finden sich diesem Techcommunity-Beitrag.

Alle Windows 10-Updates sind kumulativ. Das monatliche Patchday-Update enthält alle Sicherheitsfixes für Windows 10 und alle nicht sicherheitsbezogenen Fixes bis zum Patchday. Zusätzlich zu den Sicherheitspatches für die Schwachstellen enthalten die Updates Maßnahmen zur Verbesserung der Sicherheit. Microsoft integriert die Servicing Stack Updates (SSUs) in den aktuellen kumulativen Updates (Latest Cumulative Updates, LCUs) für neuere Windows 10-Versionen. Eine Liste der aktuellen SSUs findet sich unter ADV990001 (wobei die Liste nicht immer aktuell ist).

Windows 7 SP1 wird seit Januar 2020 nicht mehr unterstützt. Nur Kunden mit einer ESU-Lizenz für das 3. Jahr (oder Umgehungsmaßnahmen) erhalten noch Updates. Mit dem aktuellen ESU-Bypass lässt das Update installieren. Updates können auch aus dem Microsoft Update Catalog heruntergeladen werden. Die Updates für Windows RT 8.1 und Microsoft Office RT sind nur über Windows Update erhältlich.

Gefixte Schwachstellen

Die Sicherheitsupdates vom Oktober 2022 beseitigen 84 Schwachstellen, davon 13 kritisch und eine 0-day-Schwachstelle. Eine Liste aller abgedeckten CVEs finden Sie auf dieser Microsoft-Seite. Bei Tenable gibt es zudem diesen Blog-Beitrag mit einer Übersicht der gefixten Schwachstellen. Hier einige wichtige und kritische Schwachstellen:

• CVE-2022-41033: Windows COM+ Event System Service elevation of privilege vulnerability, Important,  eine EoP-Schwachstelle im Windows COM+ Event System Service, der Systemereignisbenachrichtigungen für COM+ Komponentendienste ermöglicht. Sie erhielt einen CVSSv3-Score von 7,8. Ein authentifizierter Angreifer kann diese Sicherheitsanfälligkeit ausnutzen, um die Rechte auf einem anfälligen System zu erhöhen und SYSTEM-Rechte zu erlangen.
• CVE-2022-37968: Windows Print Spooler elevation of privilege vulnerability, Critical, eine EoP-Schwachstelle in Windows Print Spooler-Komponenten, die eine CVSSv3-Punktzahl von 7,8 erhalten hat und laut Microsoft's Exploitability Index als "Exploitation More Likely" eingestuft wurde. Eine Ausnutzung würde es einem Angreifer ermöglichen, SYSTEM-Rechte zu erlangen. Die Schwachstelle wurde Microsoft von der National Security Agency gemeldet. Dies ist die dritte EoP-Schwachstelle in Windows Print Spooler, die der NSA in diesem Jahr zugeschrieben wird, nach CVE-2022-29104 und CVE-2022-30138 im Mai.
• CVE-2022-38053, CVE-2022-41036, CVE-2022-41037, CVE-2022-41038: Microsoft SharePoint Server remote code execution vulnerability, Important, RCE-Schwachstellen in Microsoft SharePoint Server, die alle einen CVSSv3-Wert von 8,8 erhalten haben. Alle bis auf CVE-2022-41037 wurden als "Exploitation More Likely" eingestuft, und CVE-2022-41038 ist die einzige, die als kritisch eingestuft wurde. Um diese Sicherheitsanfälligkeiten auszunutzen, muss ein netzwerkbasierter Angreifer bei der SharePoint-Zielseite authentifiziert sein und die Berechtigung zur Verwendung von Manage Lists besitzen.
• CVE-2022-37988, CVE-2022-37990, CVE-2022-37991, CVE-2022-37995, CVE-2022-38022, CVE-2022-38037, CVE-2022-38038, CVE-2022-38039: Windows Kernel elevation of privilege vulnerability, Critical, EoP-Schwachstellen im Windows-Kernel. Mit Ausnahme von CVE-2022-38022 erhielten alle CVEs eine CVSSv3-Bewertung von 7,8 und könnten es einem Angreifer ermöglichen, seine Berechtigungen auf SYSTEM zu erhöhen. CVE-2022-38022 erhielt eine CVSSv3-Bewertung von 2,5 und würde es einem Angreifer nur ermöglichen, leere Ordner als SYSTEM zu löschen. Der Angreifer wäre nicht in der Lage, Dateien anzuzeigen oder zu bearbeiten oder nicht leere Ordner zu löschen.
• CVE-2022-41043: Microsoft Office information disclosure vulnerability, Important, eine Sicherheitsanfälligkeit für die Offenlegung von Informationen, die Microsoft Office für Mac betrifft. Für die Ausnutzung ist lokaler Zugriff auf den Host erforderlich. Dies war die einzige öffentlich gemeldete Sicherheitslücke, die in diesem Monat gepatcht wurde. Sie wird Cody Thomas von SpecterOps zugeschrieben.
• CVE-2022-37976: Active Directory Certificate Services elevation of privilege vulnerability, Critical, EoP-Schwachstelle, die Active Directory Certificate Services betrifft. Dem Advisory zufolge könnte ein bösartiger DCOM-Client (Distributed Component Object Model) einen DCOM-Server dazu verleiten, sich beim Client zu authentifizieren, so dass ein Angreifer einen protokollübergreifenden Angriff durchführen und Domänenadministratorrechte erlangen kann. Obwohl Microsoft dies als "weniger wahrscheinlich" einstuft, suchen Ransomware-Gruppen häufig nach Schwachstellen und Fehlkonfigurationen in Active Directory, um bösartige Nutzdaten im Netzwerk einer Organisation zu verbreiten.

Die Kollegen von Bleeping Computer haben hier eine vollständige Liste aller gepatchten CVE-Schwachstellen veröffentlicht. Nachfolgend noch die Liste der gepatchten Produkte:

• Active Directory Domain Services
• Azure
• Azure Arc
• Client Server Run-time Subsystem (CSRSS)
• Microsoft Edge (Chromium-based)
• Microsoft Graphics Component
• Microsoft Office
• Microsoft Office SharePoint
• Microsoft Office Word
• Microsoft WDAC OLE DB provider for SQL
• NuGet Client
• Remote Access Service Point-to-Point Tunneling Protocol
• Role: Windows Hyper-V
• Service Fabric
• Visual Studio Code
• Windows Active Directory Certificate Services
• Windows ALPC
• Windows CD-ROM Driver
• Windows COM+ Event System Service
• Windows Connected User Experiences and Telemetry
• Windows CryptoAPI
• Windows Defender
• Windows DHCP Client
• Windows Distributed File System (DFS)
• Windows DWM Core Library
• Windows Event Logging Service
• Windows Group Policy
• Windows Group Policy Preference Client
• Windows Internet Key Exchange (IKE) Protocol
• Windows Kernel
• Windows Local Security Authority (LSA)
• Windows Local Security Authority Subsystem Service (LSASS)
• Windows Local Session Manager (LSM)
• Windows NTFS
• Windows NTLM
• Windows ODBC Driver
• Windows Perception Simulation Service
• Windows Point-to-Point Tunneling Protocol
• Windows Portable Device Enumerator Service
• Windows Print Spooler Components
• Windows Resilient File System (ReFS)
• Windows Secure Channel
• Windows Security Support Provider Interface
• Windows Server Remotely Accessible Registry Keys
• Windows Server Service
• Windows Storage
• Windows TCP/IP
• Windows USB Serial Driver
• Windows Web Account Manager
• Windows Win32K
• Windows WLAN Service
• Windows Workstation Service

Ähnliche Artikel:
Microsoft Office Updates (4. Oktober 2022)
Microsoft Security Update Summary (11. Oktober 2022)
Patchday: Windows 10-Updates (11. Oktober 2022)
Patchday: Windows 11/Server 2022-Updates (11. Oktober 2022)
Windows 7/Server 2008 R2; Windows 8.1/Server 2012 R2: Updates (11. Oktober 2022)
Patchday: Microsoft Office Updates (11. Oktober 2022)