Am Patchday im Dezember haben die Entwickler von Microsoft unter anderem sechs „kritische“ Sicherheitslücken geschlossen. Eine Schwachstelle in Windows haben Angreifer derzeit im Visier. Eine DirectX-Lücke ist öffentlich bekannt und Attacken könnten bevorstehen. Die kritischen Lücken betreffen konkret Microsoft Dynamics/Dynamics 365 Business Central (On Premises) (CVE-2022-41127), SharePoint Server (CVE-2022-44960, CVE-2022-44693), PowerShell (CVE-2022-41076) und Windows Secure Socket Tunneling Protocol (SSTP) (CVE-2022-44670, CVE-2022-44676). In allen Fällen könnten entfernte Angreifer nach erfolgreichen Attacken Schadcode ausführen. Bei den SSTP-Lücken müsste ein Angreifer dafür lediglich präparierte Verbindungsanforderungen an einen RAS-Server schicken. Die derzeit von Angreifern ausgenutzte Windows-Lücke (CVE-2022-33698) stuft Microsoft als „moderat“ ein. Angreifer könnten den Windows-Schutzmechanismus SmartScreen umgehen. Im Zusammenspiel mit der Zonenerkennung Mark of the Web sorgt der Mechanismus dafür, dass aus dem Internet geladene Dateien entsprechend gekennzeichnet sind und etwa in Office in einer geschützten Ansicht geöffnet werden. Das könnten Angreifer Microsoft zufolge umgehen. Eine ähnliche Schwachstelle wurde bereits am Patchday im November geschlossen. Um die Lücke auszunutzen, müssten sie Opfer aber auf eine von ihnen kontrollierte Website locken. Öffnet ein Opfer dann eine mit Schadcode präparierte Datei, kann das zu einer Trojaner-Infektion führen. Beispielsweise mit Makros versehen Word-Dokumente sind immer noch das Haupteinfallstor für Erpressungstrojaner. Die verbleibenden Lücken stuft Microsoft als „wichtig“ ein, auch wenn der CVSS Score in den meisten Fällen mit „hoch“ angesetzt ist. Hier könnten Angreifer etwa die Grafikkomponente von Office attackieren, um eigenen Code auszuführen. Wie Attacken aussehen könnten, ist derzeit nicht bekannt. Darunter sind noch einige Windows-Lücken, die unter anderem die Virtualisierungslösung Hyper-V und den Kernel betreffen. Hier könnten Angreifer für DoS-Attacken ansetzen. Außerdem hat Microsoft bekanntgegeben, dass Cyberkriminelle über das Windows-Hardware-Entwicklerprogramm erfolgreich mit Schadcode versehene Treiber signiert haben. Diese Treiber sollen Angreifer, die auf bereits kompromittierten Systemen Admin-Rechte erlangt haben, zum Nachladen von etwa Ransomware genutzt haben. Microsoft gibt an, die entsprechenden Entwicklerkonten gesperrt zu haben und über Windows Update und Microsoft Defender (ab 1.377.987.0) das Zertifikat widerrufen zu haben. Windows-Nutzer sollten sicherstellen, dass Windows Update aktiv ist und das System auf dem aktuellen Stand ist.
