{"id":289692,"date":"2023-12-28T15:13:42","date_gmt":"2023-12-28T14:13:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=289692"},"modified":"2024-01-05T10:21:54","modified_gmt":"2024-01-05T09:21:54","slug":"denial-of-service-schwachstelle-cve-2022-44684-im-windows-local-session-manager-lsm","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/28\/denial-of-service-schwachstelle-cve-2022-44684-im-windows-local-session-manager-lsm\/","title":{"rendered":"Denial of Service-Schwachstelle CVE-2022-44684 im Windows Local Session Manager (LSM)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Kurzer Informationssplitter in Sachen Sicherheit. Vor Weihnachten poppte eine Warnung vor einer Denial of Service-Schwachstelle im Windows Local Session Manager (LSM) auf. Diese DoS-Schwachstelle mit der CVE-Kennung CVE-2022-44684 ist allerdings recht \"merkw\u00fcrdig\". Die Kennung weist darauf hin, dass die Schwachstelle im Jahr 2022 bekannt wurde. Bei meiner Recherche habe ich auch gesehen, dass Microsoft dazu im Dezember 2022 sowie im Januar 2023 etwas publiziert hatte – das ist inzwischen aber alles gel\u00f6scht. Ich habe mal einige Informationen zusammen getragen. Und ich f\u00fcge mal eine interessante Beschreibung zu gepatchten Outlook-Schwachstellen hinzu, die sich ebenfalls zu einem Angriffsvektor kombinieren lassen.<\/p>\n

<\/p>\n

Ein Leserhinweis<\/h2>\n

\"\"Blog-Leser 1ST1 hat das Ganze in einem Kommentar hier im Blog publiziert (danke daf\u00fcr). Ich ziehe seinen Kommentar mal hier in den Text, da dieser an der betreffenden Stelle off-topic ist.<\/p>\n

Hallo Herr Born, hier scheint sich die n\u00e4chste gr\u00f6\u00dfere Sicherheitsl\u00fccke in Windows anzubahnen (Link CERT-Bund<\/a>):<\/p>\n

\"Ein entfernter, authentisierter Angreifer kann eine Schwachstelle im Microsoft Windows Local Session Manager (LSM) ausnutzen, um einen Denial of Service Angriff durchzuf\u00fchren.\"<\/p><\/blockquote>\n

Der Leser hat dann noch das Advisory Windows Local Session Manager (LSM) Denial of Service…<\/a> auf Github verlinkt, was aber wenig bis nichts hergibt. Der CVSS 3.1-Index ist auf 6.5 (von max. 10) festgelegt. Die Komplexit\u00e4t des Angriffsvektors wird als niedrig angegeben, und es braucht f\u00fcr den Angreifer nur eingeschr\u00e4nkte Privilegien. Dieser k\u00f6nnte \u00fcber Netzwerk das System quasi durch Anfragen unbrauchbar machen, ohne dass der Windows-Nutzer irgend etwas dazu tun muss.<\/p>\n

Die Merkw\u00fcrdigkeiten<\/h2>\n

An dieser Stelle wollte ich dann mal recherchieren und habe sofort gestutzt. Ich mag falsch liegen, aber eine CVE-Nummer mit 2022 am Anfang deutet doch darauf hin, dass die Schwachstelle bereits im Jahr 2022 gemeldet wurde und dann eine CVE-Nummer zugeteilt erhielt. Nist.gov schreibt hier<\/a> zum 20. Dezember 2023, dass die Schwachstelle einer Analyse harrt. Und es gibt eine \"versteckte\" \u00c4nderung \u00fcber den zeitlichen Verlauf.<\/p>\n

Alle Referenzen, die ich gefunden habe, verweisen auf einen MSRC-Eintrag im Web, der aber einen Fehler 404 liefert. 1ST1 vermutet, dass Microsoft den Beitrag noch nicht angelegt habe. Die Spekulation l\u00e4uft darauf hinaus, ob da was zum n\u00e4chsten (Januar 2024) Patchday geschlossen wird. Lasse ich einfach mal so stehen.<\/p>\n

Ich bin dann aber, ob der oben angerissenen Ungereimtheiten, neugierig geworden. Die Wayback-Machine kennt genau drei Snaps, die zwischen dem 22. Dezember 2022 und dem 2. Januar 2023 durchgef\u00fchrt – inzwischen aber wieder gel\u00f6scht – wurden.<\/p>\n

\"<\/p>\n

Auf X bin ich dann u.a. auf die obigen Tweets von Anfang Januar 2023 gesto\u00dfen, die mitteilen, dass Microsoft wohl f\u00fcr den Dezember 2022 Patchday die CVE-2022-44684 vergeben hat. Details wurden aber nicht ver\u00f6ffentlicht – was irgendwie schon \"riecht\".\u00a0 In den Weiten des wilden Web habe ich noch ein Schnipsel der Art \"This CVE<\/em> is in CISA's Known Exploited Vulnerabilities Catalog ; Microsoft Defender SmartScreen Security Feature Bypass Vulnerability<\/em>, 12\/13\/2022<\/em>\" gefunden – wobei die Seite heute meint: \"This vulnerability has been modified since it was last analyzed by the NVD. It is awaiting reanalysis which may result in further changes to the information provided.\"<\/p>\n

Ich hatte Im Blog-Beitrag Microsoft Security Update Summary (14. M\u00e4rz 2023)<\/a> und im Beitrag Microsoft Security Update Summary (14. November 2023)<\/a> etwas zu Windows Defender SmartScreen-Schwachstellen geschrieben – die aber andere CVE-Nummern haben. Auf CVE.org habe ich noch diese Information<\/a> gefunden, nach der die Schwachstelle CVE-2022-44684 folgende Windows-Versionen betreffen soll:<\/p>\n