CISA hat heute seiner wachsenden Liste bekannter ausgenutzter Sicherheitslücken (KEV) zehn neue Sicherheitslücken hinzugefügt und die Bundesbehörden aufgefordert, alle davon bis zu einem bestimmten Datum zu schließen, um die Sicherheit zu gewährleisten.
Einige davon sind schwerwiegende Fehler wie die lokale Rechteausweitung und ein RCE-Fehler in bestimmten Elementen des häufig genutzten Betriebssystems Windows. Da für die meisten der festgestellten Fehler Patches vorhanden sind, hat CISA die Behörden gebeten, diese anzuwenden und Workarounds für die Fehler zu verwenden, für die es keine Patches gibt.
CISA-Katalog bekannter ausgenutzter Schwachstellen
Regelmäßig aktualisiert die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) mit neuen Fehlern, die in der von Bundesbehörden weit verbreiteten Software gefunden wurden. Diese Richtlinie mit dem Namen BOD 22-01 sollte von allen Bundesbehörden unbedingt eingehalten werden.
Im neuesten Update hat CISA zehn neue Sicherheitslücken hinzugefügt, die aktiv ausgenutzt werden. Eine davon ist eine lokale Schwachstelle mit hohem Schweregrad zur Rechteausweitung im Windows Common Log File System Driver, die als CVE-2022-24521 verfolgt wird.
Dies wurde von CrowdStrike und der US-amerikanischen National Security Agency gemeldet und erhielt sogar einen Patch von Microsoft im Patch Tuesday-Update vom April. Es ist jedoch immer noch die Aufgabe der Endsystemadministratoren, dieses Update anzuwenden, um den Fehler zu beheben.
Ein weiterer Fehler ist eine Pre-Auth-Sicherheitslücke bei der Remote-Code-Ausführung, die in der Microsoft Remote Procedure Call (RPC) Runtime Library entdeckt wurde und einen Schweregrad von 9,8/10 erhielt. Auch für diese Sicherheitslücke hat Microsoft im Patch Tuesday-Update vom April 2022 einen Patch beigefügt.
CISA hat den Behörden bis zum 2. Mai (in drei Wochen) Zeit gegeben, ihre Systeme zu aktualisieren und abzusichern. Obwohl diese Richtlinie an alle Bundesbehörden der Zivilregierung (FCEB) gerichtet ist, empfiehlt CISA sie auch allen anderen US-Organisationen. Hier ist die Liste aller 10 Fehler, die der neuesten Richtlinie hinzugefügt wurden:
| CVE | Name der Sicherheitslücke | Fälligkeitsdatum |
| CVE-2022-24521 | Rechteerweiterung für Microsoft Windows CLFS-Treiber | 04.05.2022 |
| CVE-2018-7602 | Sicherheitslücke bei Remote-Code-Ausführung im Drupal-Core | 04.05.2022 |
| CVE-2018-20753 | Sicherheitslücke bei Remote-Codeausführung in Kaseya VSA | 04.05.2022 |
| CVE-2015-5123 | Use-After-Free-Sicherheitslücke in Adobe Flash Player | 04.05.2022 |
| CVE-2015-5122 | Use-After-Free-Sicherheitslücke in Adobe Flash Player | 04.05.2022 |
| CVE-2015-3113 | Heap-basierter Pufferüberlauf in Adobe Flash Player | 04.05.2022 |
| CVE-2015-2502 | Speicherbeschädigung im Microsoft Internet Explorer | 04.05.2022 |
| CVE-2015-0313 | Use-After-Free-Sicherheitslücke in Adobe Flash Player | 04.05.2022 |
| CVE-2015-0311 | Sicherheitslücke bei Remotecodeausführung in Adobe Flash Player | 04.05.2022 |
| CVE-2014-9163 | Stapelbasierter Pufferüberlauf bei Adobe Flash Player | 04.05.2022 |
