14.12.2022 20:09

Patch Tuesday: (zur Abwechslung) Augen auf!

An und für sich ist der monatliche "Patch Tuesday" nichts besonderes, und fällt in den meisten Unternehmen wohl sehr eindeutig in die Kategorie "Business as Usual" Auch wir haben uns bereits vor längerer Zeit entschlossen, im Regelfall zu Sicherheitslücken, die im Rahmen dieser Anlässe gefixt werden, keine Warnings zu veröffentlichen. Ausnahmen sind hier relativ selten, zuletzt war dies im Juli 2021 der Fall, als im Druckerdienst von Windows (zum wiederholten mal) das große Sicherheitschaos ausgebrochen war.

Manchmal gelangen wir jedoch in die verzwickte Lage, dass sich in den Patchnotes Updates für Schwachstellen verbergen, aufgrund derer wir zwar keine Warnung veröffentlichen, aber auf die wir dennoch explizit hinweisen wollen. Diesen Monat ist es wieder einmal soweit.

Konkret geht es um CVE-2022-41076 sowie CVE-2022-41080. Dabei handelt es sich eine Remote Code Execution in Powershell sowie eine Elevation of Privilege in mehreren Versionen von Microsoft Exchange. Sind die beiden Sicherheitslücken für sich alleine zwar unschön, aber kein Weltuntergang, ermöglichen sie in Doppelpack potentiell eine Codeausführung auf On-Prem Exchange-Servern. Insbesondere wenn man einen ungeschützten Exchange-Server im Netz hat ist hier Eile beim Aktualisieren angebracht (.. aber wer hat das schon, richtig?).

Auch für ein rasches Einspielen des Patches für CVE-2022-44698 geben wir eine nachdrückliche Empfehlung ab, da diese Lücke bereits aktiv durch Bedrohungsakteure ausgenutzt wird.

Der CVSS-Score von 5.4 ist (in meinen unbedarften Augen) etwas irreführend. Wenn unter Windows eine Datei aus dem Internet heruntergeladen wird, versieht Windows diese Datei mit einem speziellen NTFS-Stream, dem sogenannten "Mark of the Web" - dieser wiederum sorgt dafür, dass manche hauseigenen Applikationen die Datei etwas vorsichtiger behandeln.

Beispielsweise führt Windows SmartScreen, sobald besagte Datei geöffnet wird, basierend auf der Präsenz dieses NTFS-Streams, eine Reputationsprüfung durch. Und genau diese Prüfung kann durch Angreifer:innen, unter Ausnutzung von CVE-2022-44698, umgangen werden. Sich nicht mit Windows SmartScreen herumschlagen zu müssen erleichtert eine initiale Infektion enorm.

Wir können unser eigenes Mantra nicht oft genug betonen:

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

(Hinter den Gerüchten, dass dieser Paragraph auf den T-Shirts einiger CERT-Mitarbeiter:innen prangt, steckt selbstverständlich kein Körnchen Wahrheit. Nicht ein Einziges.)

Verfasst von: Alexander Riepl