Patch-Tuesday: Microsoft weist auf gefährliche Sicherheitslücke in Windows hin

Microsofts erster Stapel von Patches für das Jahr 2022 hat es in sich: 97 dokumentierte Sicherheitslücken im Windows-Ökosystem, von denen manche schwerwiegend genug sind, um Angriffe zur Ausführung von Remote-Code zu verursachen.

Die Sicherheitsupdates aus Redmond vom Januar decken Sicherheitsmängel in einer Vielzahl von Standardkomponenten des Windows-Betriebssystems ab, darunter eine kritische Schwachstelle im HTTP-Protokollstapel (http.sys), die Microsoft als "wurmfähig" bezeichnet, und ein weiterer Fehler in Exchange Server, der von der NSA gemeldet wurde.

Laut Microsofts Dokumentation sind neun der 97 Fehler als "kritisch" eingestuft, der höchsten Schweregradstufe des Unternehmens.  Die meisten Fehler werden als "wichtig" eingestuft, und Microsoft warnt, dass mindestens ein halbes Dutzend bereits öffentlich dokumentiert wurde.

Das Unternehmen gab an, dass es keine Informationen darüber hat, dass eine der gepatchten Sicherheitslücken als Zero-Day-Schwachstelle in freier Wildbahn ausgenutzt wurde.

Sicherheitsexperten fordern Windows-Administratoren auf, besonders auf CVE-2022-21907 zu achten, eine Sicherheitslücke, die es einem nicht authentifizierten Angreifer erlaubt, speziell gestaltete Pakete an einen Zielserver zu senden, der den HTTP Protocol Stack (http.sys) zur Verarbeitung von Paketen verwendet.

"Dies ist wurmfähig. Microsoft empfiehlt, die betroffenen Server vorrangig zu patchen", so das Unternehmen in einem Advisory.

Das Unternehmen stufte auch einen neuen Fehler in Microsoft Exchange - CVE-2022-21846 - als besonders schwerwiegend ein, der von der National Security Agency (NSA) der US-Regierung gemeldet wurde.  Microsoft bestätigte, dass das Exchange Server-Problem zu gezielten Angriffen mit entfernter Codeausführung führen kann.

Im Laufe des letzten Jahres musste Microsoft auf eine Welle von Zero-Day-Angriffen reagieren, und das Unternehmen hat die NSA regelmäßig für die Meldung von Exchange Server-Schwachstellen verantwortlich gemacht.

Das Unternehmen hat auch offene Sicherheitslücken in der Microsoft Office-Produktivitätssuite geschlossen, ein Problem bei der Erhöhung von Berechtigungen in Active Directory Domain Services, das gefährlich genug ist, um als kritisch eingestuft zu werden, und einen Open-Source-Bug in Curl, der erstmals im September letzten Jahres gepatcht und dokumentiert wurde.

Laut den Schwachstellen-Trackern der Zero Day Initiative ist der Januar-Patch mit insgesamt 122 dokumentierten CVEs, die in Windows und dem zuvor aktualisierten Edge (Chrome)-Browser behoben wurden, ungewöhnlich groß.