[English]Im Januar 2022 hat Microsoft zum Patchday die Schwachstelle CVE-2022-21882 (Win32k Privilege Escalation) in Windows 10/11 und Windows Server 20H2 geschlossen. Der Patch wurde aber wegen der vielen Kollateralschäden nicht überall installiert. Jetzt liegt ein öffentliches Proof of Concept (PoC) für diese Schwachstelle vor. Administratoren sollten prüfen, ob die Korrekturupdates vom Januar 2022 installiert werden können, um die Schwachstelle zu schließen. Hier ein kurzer Überblick zu dieser Thematik.
Anzeige
Ich bin über nachfolgenden Tweet der Kollegen von Bleeping Computer auf das Thema aufmerksam geworden. Dort wird darauf hingewiesen, dass ein Sicherheitsforscher ein Proof of Concept (PoC) veröffentlicht habe. Der Tweet mit dem Hinweis auf den PoC findet man hier.
Bei CVE-2022-21882 handelt es sich um eine Win32k Privilege Escalation-Schwachstelle, die durch Microsoft für Windows 10 Version 1909, 20H2 – 21H2, Windows 11 und Windows Server 20H2 durch Updates geschlossen wurde. Ein lokaler, authentifizierter Angreifer kann durch die Schwachstelle im Win32k.sys-Treiber erweiterte lokale System- oder Administratorrechte erlangen.
Wegen der Einschränkungen wird diese Schwachstelle nur als wichtig (important) eingestuft. Microsoft ist allerdings eine begrenzte Anzahl an Angriffen bekannt, die versuchen, diese Sicherheitslücke auszunutzen. Ich hatte im Blog-Beitrag Microsoft Januar 2022 Patchday-Revisionen (14.1.2022) auf die durch das Sicherheitsupdate vom 11. Januar 2022 geschlossene Schwachstelle, aber auch auf die durch das Sicherupdate verursachten Kollateralschäden, hingewiesen.
Durch das veröffentlichte Proof of Concept (POC) könnte sich der Sachverhalt aber geändert haben. Will Dormann bestätigt in nachfolgendem Tweet, dass der PoC funktioniert.
Auch in diesem Tweet wird bestätigt, dass der PoC leicht angewandt werden kann. Die Kollegen bei Bleeping Computer haben den PoC compiliert und konnten diesen unter Windows 10 nachvollziehen. Unter Windows 11 habe der PoC aber nicht funktioniert, schreiben sie in diesem Artikel.
Es bleibt aber festzuhalten, dass es sich um eine lokal ausnutzbare Schwachstelle handelt, der Angreifer muss also Zugriff auf das lokale System haben. Bisher ist mir noch nicht bekannt, dass Microsoft die Bedrohungslage höher gestuft hat. Administratoren sollten aber prüfen, ob die Korrekturupdates vom Januar 2022 (siehe nachfolgende Linkliste) nicht doch auf betroffenen Maschinen installiert werden können.
Anzeige
Ähnliche Artikel:
Patchday: Windows 10-Updates (11. Januar 2022)
Patchday: Windows 11-Updates (11.Januar 2022)
Windows Server: Januar 2022-Sicherheitsupdates verursachen Boot-Schleife
Windows VPN-Verbindungen (L2TP over IPSEC) nach Januar 2022-Update kaputt
Windows Server 2012/R2: Januar 2022 Update KB5009586 brickt Hyper-V Host
Microsoft Januar 2022 Patchday-Revisionen (14.1.2022)
Microsoft Patchday-Probleme Jan. 2022: Bugs bestätigt, Updates zurückgezogen?
Windows Server: Januar 2022-Sicherheitsupdates verursachen Boot-Schleife
Windows VPN-Verbindungen (L2TP over IPSEC) nach Januar 2022-Update kaputt
Windows Server 2012/R2: Januar 2022 Update KB5009586 brickt Hyper-V Host
Microsoft Januar 2022 Patchday-Revisionen (14.1.2022)
Microsoft Patchday-Probleme Jan. 2022: Bugs bestätigt, Updates zurückgezogen?
2015
