Microsoft hatte am September-Patchday eine Sicherheitslücke geschlossen und diese als mittleres Risiko eingestuft. Nun stellt sich heraus, dass diese Lücke doch als kritisch gilt. Festgestellt hat dies die IBM-Sicherheitsforscherin Valentina Palmiotti. Die Lücke erlaubt das Ausführen von Schadcode ohne vorherige Authentifizierung aus dem Netz.

Im SPNEGO Extended Negotiation (NEGOEX)-Sicherheitsmechanismus, mit dem Client und Server den zu verwendenden Sicherheitsmechanismus von Verbindungen aushandeln können, befindet sich diese Schwachstelle. Indem Angreifer ein beliebiges Windows-Anwendungsprotokoll mit manipuliertem Verkehr aufrufen, das Nutzer standardmäßig authentifiziert, könnten sie beliebigen Code aus dem Netz einschmuggeln. Beispielsweise SMB, das Remote-Desktop-Protokoll (RDP), aber auch SMTP gehören dazu. Ein Protokoll ist auch anfällig, wenn für HTTP-Zugriffe auf einen Dienst SPNEGO-Authentifizierung aktiviert wurde, etwa als Anmeldung mittels Kerberos.

In der aktualisierten Sicherheitsnotiz zur Schwachstelle schreibt Microsoft, dass die Entwickler die Risikobewertung, die Auswirkungen sowie die CVSS-Einstufung auf "kritische Remote Code Execution" heraufgestuft hätten.

Anstatt 7.5 ist der CVSS-Wert der Sicherheitsmeldung CVE-2022-37958 bei 8.1, was weiterhin einem hohen Risiko entspricht. Da Angreifer vorher einige Informationen oder Zugriff im lokalen Netzwerk erlangen müssten, stuft Microsoft die Angriffskomplexität allerdings als hoch ein.

Alle Windows-Versionen von Windows 7 bis Windows 11, auch Windows RT 8.1, sowie Windows Server 2008 R2 bis Server 2022 sind betroffen. Administratoren sollten diesen Sicherheitspatch zum Schließen der Schwachstelle jetzt zügig installieren.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE