August-Patchday: Microsoft schließt aktiv ausgenutzte Zero-Day-Lücke

Windows 10 Update (Bild: Silicon.de

Sie ist eigentlich schon seit Dezember 2019 bekannt. Eine weitere Zero-Day-Lücke wird bisher nicht aktiv ausgenutzt. Insgesamt stopft Microsoft mehr als 120 Löcher in seinen Produkten.

Microsoft hat den August-Patchday genutzt, um Zero-Day-Lücke zu schließen, die dem Unternehmen bereits seit Dezember 2019 bekannt ist. Die Schwachstelle mit der Kennung CVE-2022-34713 steckt im Microsoft Support Diagnostic Tool (MSDT) und erlaubt unter Umständen das Einschleusen und Ausführen von Schadcode. Sie wird zudem bereits aktiv von Hackern ausgenutzt.

Die auch als DogWalk bezeichnete Anfälligkeit geriet dann im Juni erneut ins Visier von Sicherheitsexperten, nachdem Microsoft eine andere Zero-Day-Lücke im MSDT beseitigt hatte. Das veranlasste den Softwarekonzern offenbar auch, die im Januar getroffene Entscheidung zurückzunehmen, keinen Fix für den Fehler zu entwickeln.

Microsoft weist darauf hin, dass sich die Lücke nur nach einer Interaktion mit einem Nutzer ausnutzen lässt. So müsste ein Opfer beispielsweise dazu verleitet werden, einen Dateianhang einer E-Mail zu öffnen oder eine Website zu besuchen, die eine speziell gestaltete Datei hostet. Davon betroffen sind Nutzer von Windows 7, 8.1, Windows 10, Windows 11, Server 2012, Server 2016, Server 2019, Server 20H2 und Server 2022.

Weitere Löcher stecken in Office, Visual Studio und Hyper-V

Eine weitere Zero-Day-Lücke, die allerdings noch nicht angegriffen wird, meldet Microsoft in Exchange. Sie führt unter Umständen zur Offenlegung vertraulicher Informationen. Allerdings sind Microsoft bisher keine Angriffe auf die Schwachstelle bekannt. Ein Fix steht nun für Exchange Server 2013, 2016 und 2019 zur Verfügung.

Insgesamt stopft Microsoft im August 121 Sicherheitslöcher. Sie erlauben neben einer Remotecodeausführung auch das Umgehen von Sicherheitsfunktionen sowie eine nicht autorisierte Ausweitung von Benutzerrechten. Die Patches verhindern außerdem Denial-of-Service-Angriffe und Spoofing.

Den Versionshinweisen zufolge stehen Patches für Active Directory Domain Services, Azure Site Recovery, Azure Sphere Edge, Office, Excel, Outlook, Hyper-V und Visual Studio zur Verfügung. Sicherheitsrelevante Fehler beseitigt Microsoft zudem in diversen Windows-Komponenten, darunter Bluetooth-Dienst, Fehlerberichterstattung, Windows Hello, Kerberos, Kernel, Partitionsverwaltungstreiber, Druckerspooler und Win32K.