2259419

Microsoft schließt über 100 Windows-Lücken

15.03.2017 | 08:55 Uhr |

Beim Update-Dienstag im März holt Microsoft Versäumtes nach. In 18 Security Bulletins behandelt Microsoft 133 Schwachstellen. Auch mehrere 0-Day-Lücken sind darunter.

Nach dem beinahe komplett ausgefallenen Patch Day im Februar fährt Microsoft beim Update-Dienstag im März alles auf, was die Patch-Küche hergibt. Ursprünglich hatten die Redmonder angekündigt, es würde bereits ab Februar keine Security Bulletins mehr geben. Nun hat man sich offenbar doch eines Besseren besonnen. Man wolle den Kunden Zeit dafür lassen zu prüfen, ob sie ihre Prozesse für den Wechsel zum so genannten Security Update Guide („Leitfaden für Sicherheitsupdates“) umgestellt haben.

So hat Microsoft im März 18 Security Bulletins veröffentlicht. Neun dieser Bulletins behandeln Schwachstellen, die Microsoft als kritisch einstuft. Insgesamt kommen mehr als 130 gestopfte Lücken zusammen. Mit denen im integrierten Flash Player sind es sogar 140. Da ist für jeden etwas dabei. Internet Explorer, Edge, Office, Exchange Server, Silverlight und alle unterstützten Windows-Versionen bekommen Sicherheits-Updates.

Die Security Bulletins vom 15. März 2017

MS17-006 – Internet Explorer (kritisch)
Erstmals in diesem Jahr gibt es wieder ein kumulatives Sicherheits-Update für den Internet Explorer (IE). Es beseitigt insgesamt 12 Schwachstellen. Eine der Lücken (CVE-2017-0149) wird bereits für Angriffe im Web ausgenutzt. Fünf weitere IE-Lücken sind bereits zuvor öffentlich bekannt gewesen. Vier der IE-Lücken betreffen auch Edge, darunter drei vorab öffentlich gemeldete.

MS17-007 – Edge (kritisch)
Der neue Browser Edge erweist sich auch in puncto Sicherheitslücken immer mehr als würdiger Nachfolger des IE. In diesem Monat schließt Microsoft 32 Sicherheitslücken in Edge. Selbst wenn man konzediert, dass die im Februar nicht gestopften Lücken zu der hohen Zahl beitragen, macht das die Sache nicht besser. Fünf Edge-Schwachstellen waren bereits vor dem Patch Day öffentlich bekannt, entsprechende Angriffe gibt es laut Microsoft bislang nicht.

MS17-008 – Hyper-V (kritisch)
In der Virtualisierungslösung Hyper-V hat Microsoft 11 Schwachstellen behoben, von denen drei ausgenutzt werden könnten, um eingeschleusten Code auszuführen. Eine Denial-of-Service-Lücke wurde bereits vorab öffentlich gemeldet.

MS17-009 – PDF-Bibliothek (kritisch)
Seit Windows 8 liefert Microsoft eine Programmbibliothek zur Anzeige von PDF-Datei mit. Sie enthält eine Sicherheitslücke, die mit präparierten PDF-Dateien ausgenutzt werden kann, um beliebigen Code einzuschleusen und mit Benutzerrechten auszuführen. Edge nutzt diese Bibliothek als einziger Browser standardmäßig zur PDF-Anzeige und ermöglicht so ein recht einfaches Web-Angriffsszenario.

MS17-010 – SMB-Server (kritisch)
Insgesamt sechs Schwachstellen schließt Microsoft im SMBv1-Dienst (Server Message Block Version 1 - Dateifreigabe). Fünf der Lücken sind gut geeignet, um Code einzuschleusen und auszuführen. Neuere SMB-Versionen sind nicht betroffen. Entsprechende Exploits oder Angriffe sind bislang nicht bekannt.

MS17-011 – Uniscribe (kritisch)
Nach Edge entfallen die meisten Patches auf die Uniscribe-Schnittstelle in allen Windows-Versionen, immerhin 29. Acht dieser Lücken könnten ausgenutzt werden, um Code einzuschleusen und auszuführen. Entsprechende Exploits oder Angriffe sind bislang nicht bekannt.

MS17-012 - Windows (kritisch)
Dieses Bulletin versammelt sechs Schwachstellen in sechs verschiedenen Windows-Komponenten, die wenig miteinander zu tun haben. Dazu gehören der Device Guard in Windows 10 und Server 2016, die SMB-Clients (SMBv2, SMBv3), DNS-Clients, das COM-System (Component Object Model) und der iSNS-Serverdienst. Außerdem behandelt das Bulletin eine weitere Windows-Schwachstelle beim Laden von Windows-DLLs, die es einem Angreifer mit lokalem Systemzugriff ermöglichen kann eingeschleusten Code auszuführen. Laut Internet Storm Center ist für die DoS-Lücke in den SMB-Clients (CVE 2017-0016), im Gegensatz zu Microsofts Angaben, bereits seit einem Monat Exploit-Code öffentlich verfügbar.

MS17-013 – GDI, Grafikkomponente (kritisch)
In diesem Bulletin handelt Microsoft zwölf Sicherheitslücken in Grafikkomponenten ab, vor allen in der Schnittstelle GDI (Graphics Device Interface). Eine der vier GDI-Lücken (CVE-2017-0005), die eine Rechteausweitung ermöglichen, wird bereits für Angriffe ausgenutzt. Eine von zwei Schwachstellen in der Windows-Grafikkomponente (CVE-2017-0014), die es einem Angreifer ermöglichen können, Code einzuschleusen und auszuführen, wurde bereits vorab öffentlich gemeldet. Neben allen Windows-Versionen betreffen die Schwachstellen in diesem Bulletin auch Office, Lync, Skype for Business, die Live Meeting 2007-Konsole und Silverlight 5. Silverlight 5 ist in der neuen Version 5.1.50905.0 erhältlich.

MS17-014 – Office (hoch)
Weitere zwölf Lücken werden durch Office-Updates beseitigt. Die Schwachstellen betreffen alle unterstützten Office-Versionen von 2007 bis 2016, einschließlich der Versionen 2011 und 2016 für Mac. Auch die kostenlosen Viewer für Word- und Excel-Dokumente sind anfällig, ebenso Office Web Apps 2013, SharePoint Server 2013 und Lync für Mac. Sieben Lücken können sich eignen, um mit präparierten Word- oder Excel-Dateien Code einzuschleusen, der dann mit Benutzerrechten ausgeführt würde.

MS17-015 – Exchange (hoch)
Einmal mehr ist Outlook Web Access (OWA) die angreifbare Komponente im Exchange Server. Betroffen sind Exchange Server 2013 und 2016. Mit einem speziell präparierten Mail-Anhang könnte ein Angreifer Code einschleusen und ausführen.

MS17-016 – IIS (hoch)
Der in Windows enthaltene, auf Client-Systemen jedoch nicht standardmäßig mitinstallierte Web-Server IIS (Internet Information Services) enthält eine XSS-Sicherheitslücke (Cross-site Scripting), durch deren Ausnutzung sich ein Angreifer höhere Rechte verschaffen kann. Er könnte Scripte im Browser eines Benutzers ausführen, der eine speziell konstruierte URL auf einem anfälligen Server anklickt.

MS17-017 – Kernel (hoch)
Vier Schwachstellen im Kernel aller Windows-Versionen (nicht jede Lücke betrifft alle Versionen) bietet einem Angreifer die Möglichkeit sich höhere Rechte zu verschaffen. Eine dieser Lücken (CVE-2017-0050) war bereits vorher öffentlich bekannt.

MS17-018 – Kernelmodustreiber (hoch)
Im Kernelmodustreiber Win32k aller Windows-Versionen schließt Microsoft insgesamt sieben Sicherheitslücken, die es einem lokal angemeldeten Angreifer ermöglichen können, sich höhere Berechtigungen zu verschaffen. Keine der Schwachstellen war vorab bekannt oder wird bereits für Angriffe genutzt.

MS17-019 – Active Directory (hoch)
Mit einem Sicherheits-Update beseitigt Microsoft eine Schwachstelle in den Active Directory-Verbunddiensten (AD FS) aller Windows Server-Editionen. Durch eine speziell präparierte Anforderung kann der Angreifer im Erfolgsfall vertrauliche Informationen über das Zielsystem erlangen.

MS17-020 – DVD Maker (hoch)
In Windows 7 und Vista ist die Software DVD Maker enthalten, die eine Sicherheitslücke aufweist. Ein Angreifer, der diese Schwachstelle ausnutzt, kann Informationen über das Zielsystem erhalten, mit denen er weiteren Schaden anrichten kann. Um die Lücke auszunutzen muss ein Angreifer lokal angemeldet sein oder einen angemeldeten Benutzer dazu bringen, eine speziell präparierte MSDVD-Datei mit DVD Maker zu öffnen.

MS17-21 – DirectShow (hoch)
Auch eine Lücke in DirectShow aller Windows-Versionen kann einem Angreifer den Zugriff auf Informationen ermöglichen, mit deren Hilfe er weiteren Schaden verursachen kann. Dazu könnte er etwa einen Benutzer auf eine speziell präparierte Web-Seite locken.

MS17-022 – XML Core Services (hoch)
In den XML Core Services 3.0 aller Windows-Versionen behebt Microsoft eine Schwachstelle, deren Ausnutzung es einem Angreifer erlaubt, die Existenz bestimmter Dateien auf der Festplatte des Zielsystem festzustellen. Dazu muss er einen Benutzer auf eine speziell präparierte Web-Seite locken. Diese Lücke wird bereits für Angriffe im Web ausgenutzt.

MS17-023 – Flash Player (kritisch)
Adobe hat ein Sicherheits-Update für den Flash Player bereit gestellt. Dies betrifft auch den Flash Player, der im Internet Explorer (ab Windows 8) und in Edge integriert ist. Auf diesen bezieht sich das Microsoft Security Bulletin, das sieben gestopfte Lücken ausweist. Der Flash Player sollte nach der Update-Installation die neue Versionsnummer 25.0.0.127 tragen.

Außerdem gibt es, wie in jedem Monat, auch im März das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustartnötig?

MS17-006

kritisch

0

RCE

Windows (alle); Internet Explorer

ja

MS17-007

kritisch

1

RCE

Windows 10, Server 2016; Edge

ja

MS17-008

kritisch

2

RCE

Windows (alle); Hyper-V

ja

MS17-009

kritisch

2

RCE

Windows 8.1, 10, RT 8.1, Server 2012, 2012 R2, 2016; PDF-Bibliothek

ja

MS17-010

kritisch

1

RCE

Windows (alle); SMB-Server

ja

MS17-011

kritisch

2

RCE

Windows (alle); Uniscribe

ja

MS17-012

kritisch

1

RCE

Windows (alle); Device Guard, SMB-Client, DNS-Client, COM, iSNS Server

ja

MS17-013

kritisch

0

RCE

Windows (alle), Office 2007/2010, Lync, Silverlight; GDI, Grafikkomponente, Farbverwaltung

ja

MS17-014

hoch

1

RCE

MS Office (alle, inkl. Mac); Word, Excel inkl.Viewer

u.U.

MS17-015

hoch

3

RCE

Exchange Server 2013, 2016; Outlook Web Access (OWA)

ja

MS17-016

hoch

2

RCE

Windows (alle); Internet Information Services (IIS)

ja

MS17-017

hoch

1

EoP

Windows (alle); Kernel

ja

MS17-018

hoch

1

EoP

Windows (alle); Kernelmodustreiber (win32k)

ja

MS17-019

hoch

3

ID

Windows Server (alle); Active Directory-Verbunddienste (AD FS)

ja

MS17-020

hoch

3

ID

Windows Vista, 7; DVD Maker

ja

MS17-021

hoch

2

ID

Windows (alle); DirectShow

ja

MS17-022

hoch

1

ID

Windows (alle); XML Core Services 3.0

ja

MS17-023

kritisch

RCE

Windows 8.1, 10, RT 8.1, Server 2012, 2012 R2, 2016; IE, Edge: integrierter Flash Player

ja

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS – Denial of Service: Dienstverweigerung / Software-Absturz
SFB – Security Feature Bypass: Umgehen einer Sicherheitsfunktion

Ausnutzbarkeit:
0 – wird bereits ausgenutzt
1 – Ausnutzung wahrscheinlich
2 – Ausnutzung weniger wahrscheinlich
3 – Ausnutzung unwahrscheinlich


0 Kommentare zu diesem Artikel
2259419