Patch-Dienstag: Microsoft veröffentlicht Fix für aktiv ausgenutzte „Follina“-Schwachstelle

  • Microsoft hat im Rahmen seiner Patch Tuesday-Updates offiziell Korrekturen für eine aktiv ausgenutzte Windows Zero-Day-Schwachstelle namens Follina veröffentlicht.

    Außerdem hat der Tech-Riese 55 weitere Schwachstellen behoben, von denen drei als kritisch, 51 als wichtig und eine als mittelschwer eingestuft wurden. Unabhängig davon wurden fünf weitere Schwachstellen im Microsoft Edge-Browser behoben.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjaBbYTALewJvxPx8cnzv0FMFvygJ4ym5US2q-Uxw_N9KSMl8z0Z7pPOeXOEHgnJ9u00oLe7QZR55XMcwv60hQ_dIuT9MTSCTeu-C3cUe-RgpBF3_hTmoXh7ESgmtUaVloM9dS5jXLtkOLVeYSBrepZsVYuf3lxIAlCR4TsZhB-hFm_HGHwjkDsk9teXQ/s1600/Jira-ads.png]

    Der als CVE-2022-30190 (CVSS-Score: 7.8) verfolgte Zero-Day-Bug bezieht sich auf eine Sicherheitslücke bei der Remotecodeausführung, die das Windows Support Diagnostic Tool (MSDT) betrifft, wenn es über das URI-Protokollschema „ms-msdt:“ aus einer Anwendung wie Word aufgerufen wird.

    Die Sicherheitsanfälligkeit kann auf triviale Weise durch ein speziell gestaltetes Word-Dokument ausgenutzt werden, das eine bösartige HTML-Datei über die Remote-Vorlagenfunktion von Word herunterlädt und lädt. Die HTML-Datei ermöglicht es dem Angreifer schließlich, PowerShell-Code in Windows zu laden und auszuführen.

    „Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen“, so Microsoft in einem Advisory. „Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem durch die Rechte des Benutzers erlaubten Kontext erstellen.“

    Ein entscheidender Aspekt von Follina ist, dass die Ausnutzung der Schwachstelle nicht die Verwendung von Makros erfordert, so dass ein Angreifer die Opfer nicht dazu bringen muss, Makros zu aktivieren, um den Angriff auszulösen.

    Seit dem Bekanntwerden der Schwachstelle Ende letzten Monats wurde sie von verschiedenen Bedrohungsakteuren in großem Umfang ausgenutzt, um eine Vielzahl von Schadprogrammen wie AsyncRAT, QBot und andere Informationsdiebe abzusetzen. Es gibt Hinweise darauf, dass Follina mindestens seit dem 12. April 2022 in freier Wildbahn missbraucht wird.

    Neben CVE-2022-30190 behebt das kumulative Sicherheitsupdate auch mehrere Fehler bei der Remotecodeausführung in Windows Network File System (CVE-2022-30136), Windows Hyper-V (CVE-2022-30163), Windows Lightweight Directory Access Protocol, Microsoft Office, HEVC Video Extensions und Azure RTOS GUIX Studio.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Ein weiterer erwähnenswerter Sicherheitsmangel ist CVE-2022-30147 (CVSS-Score: 7.8), eine Schwachstelle mit erhöhten Rechten, die Windows Installer betrifft und von Microsoft mit der Bewertung „Exploitation More Likely“ versehen wurde.

    „Sobald ein Angreifer den ersten Zugriff erlangt hat, kann er diese erste Zugriffsebene auf die eines Administrators erhöhen, wo er Sicherheitstools deaktivieren kann“, sagte Kev Breen, Director of Cyber Threat Research bei Immersive Labs, in einer Erklärung. „Im Falle eines Ransomware-Angriffs wird so der Zugang zu sensibleren Daten genutzt, bevor die Dateien verschlüsselt werden.“

    Die neueste Runde von Patches zeichnet sich auch dadurch aus, dass zum ersten Mal seit Januar 2022 keine Updates für die Print Spooler-Komponente enthalten sind. Die Patches kommen auch zu einem Zeitpunkt, an dem Microsoft die Unterstützung für den Internet Explorer 11 ab dem 15. Juni 2022 in den Windows 10 Semi-Annual Channels und Windows 10 IoT Semi-Annual Channels offiziell einstellt.

    Software-Patches von anderen Anbietern

    Neben Microsoft wurden seit Anfang des Monats auch von anderen Herstellern Sicherheitsupdates veröffentlicht, um verschiedene Schwachstellen zu beheben, darunter

    • Adobe
    • AMD
    • Android
    • Apache-Projekte
    • Atlassian Confluence Server und Datenzentrum
    • Cisco
    • Citrix
    • Dell
    • GitLab
    • Google Chrome
    • HP
    • Intel
    • Lenovo
    • Linux-Distributionen Debian, Oracle Linux, Red Hat, SUSE und Ubuntu
    • MediaTek
    • Mozilla Firefox, Firefox ESR und Thunderbird
    • Qualcomm
    • SAP
    • Schneider Electric
    • Siemens, und
    • VMware

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com