2189966

Microsoft stopft 0-Day-Lücken in Windows

13.04.2016 | 09:13 Uhr |

Beim Update-Dienstag des Monats April hat Microsoft 13 Security Bulletins veröffentlicht, die 29 Sicherheitslücken behandeln. Darunter sind auch zwei Windows-Schwachstellen, die bereits für Angriffe ausgenutzt werden.

Mit den 13 gestern veröffentlichten Security Bulletins für April hat Microsoft auch Sicherheits-Updates bereit gestellt. Diese sollen 29 Sicherheitslücken in Windows und Office sowie im Internet Explorer und in Edge schließen. Sechs Bulletins behandeln Schwachstellen, die Microsoft als kritisch einstuft. Die übrigen Bulletins befassen sich mit Lücken, deren maximalen Schweregrad Microsoft mit der zweithöchsten Stufe „hoch” angibt. Eine dieser Lücken teilt sich Windows mit der Open Source Software Samba, die unter Linux & Co. den Zugriff auf Netzwerkressourcen ermöglicht.

MS16-037 – Internet Explorer (kritisch)
Im Internet Explorer (IE) 9 bis 11 beseitigt ein kumulatives Sicherheits-Update insgesamt sechs Schwachstellen, von denen fünf als kritisch einzustufen sind. Diese können es einem Angreifer ermöglichen beliebigen Code einzuschleusen und auszuführen. Eine der kritischen Lücken führt dazu, dass der IE 11 Eingaben nicht sorgfältig genug prüft, bevor er eine DLL (Programmbibliothek) lädt. Schlimmstenfalls könnte ein Angreifer, der diese Lücke ausnutzt, die volle Kontrolle über das System erlangen.

MS16-038 – Edge  (kritisch)
Auch im Browser Edge für Windows 10 schließt Microsoft sechs Sicherheitslücken. Eine teilen sich Edge und der IE. Vier Speicherfehler stuft Microsoft als kritisch ein. Zwei Schwachstellen könnte ein Angreifer nutzen, um sich höhere Berechtigungen zu verschaffen.

MS16-039 – Windows-Kernel (kritisch)
In diesem Bulletin behandelt Microsoft vier Kernel-Bugs in allen Windows-Versionen. Nur eine dieser Lücken stuft Microsoft als kritisch ein. Dabei handelt es sich um eine Schwachstelle in der Windows-Grafikkomponente, genauer gesagt in der Schriftartenbibliothek. Fehler dieser Art hat Microsoft in den letzten Monaten zuhauf beseitigen müssen. Ein Angreifer könnte mit präparierten Schriftartdateien (Fonts) Code einschleusen und ausführen. Die drei anderen Schwachstellen stecken im Kerneltreiber Win32k.sys und können einem Angreifer höhere Berechtigungen verschaffen. Zwei dieser Lücken werden laut Microsoft bereits für Angriffe ausgenutzt.

MS16-040 – MSXML (kritisch)
Eine Sicherheitslücke in den XML Core Services 3.0 betrifft alle Windows-Versionen. Ein Angreifer kann schädlichen Code einschleusen und ausführen, wenn er einen Benutzer dazu verleitet auf einen speziell präparierten Link zu klicken. Wie verschiedene andere Schwachstellen betrifft diese auch Windows Server 2016 Technical Preview, die kommende Server-Ausgabe von Windows.

MS16-041 – .NET Framework (hoch)
Im .NET Framework 4.6 und 4.6.1 beseitigt Microsoft ein Anfälligkeit, die ein Angreifer ausnutzen kann, um Code einzuschleusen und auszuführen. Dazu muss er jedoch erstmal auf das lokale System zugreifen und ein speziell präpariertes Programm starten können. Der Fehler in .NET besteht in der unzureichenden Prüfung von Benutzereingaben, bevor .NET Programmbibliotheken lädt.

MS16-042 – Microsoft Office (kritisch)
In allen unterstützten Office-Versionen für Windows und Mac beseitigt Microsoft insgesamt vier Sicherheitslücken. Keine der Lücken betrifft jede Office Version, alle können es einem Angreifer ermöglichen Code einzuschleusen und auszuführen. Nur einen der vier Speicherfehler (CVE-2016-0127) stuft Microsoft als kritisch ein.

MS16-043 – bislang nicht veröffentlicht

MS16-044 - Windows OLE (hoch)
Eine Schwachstelle in Windows OLE (Object Linking and Embedding) kann Remotecodeausführung ermöglichen. Sie betrifft alle Windows-Versionen außer Windows 10. Ein Angreifer muss einen Benutzer zunächst dazu verleiten eine speziell präparierte Datei oder ein Programm zu öffnen.

MS16-045 – Hyper-V (hoch)
In der Virtualisierungslösung Hyper-V, die in Windows ab Version 8.1 enthalten ist, schließt Microsoft drei Sicherheitslücken. Eine der Schwachstellen (CVE-2016-0088) kann es ermöglichen Code einzuschleusen und auszuführen, weil Benutzereingaben im Gastsystem durch den Host nicht ordnungsgemäß überprüft werden. Die beiden anderen Lücken können auf dem Gastsystem zur Offenlegung von Informationen aus dem Hostsystem genutzt werden.

MS16-046 – sekundärer Anmeldedienst (hoch)
Der sekundäre Anmeldedienst in Windows 10 verarbeitet Anforderungen im Speicher nicht ordnungsgemäß. Dadurch kann sich ein angemeldeter Benutzer Administratorrechte verschaffen.

MS16-047 – SAM- und LSAD-Remoteprotokolle (hoch)
Der Samba-Entwickler Stefan Metzmacher hat in der quelloffenen Implementierung des SMB-Protokolls eine Authentifizierungslücke entdeckt. Die „ Badlock Bug “ getaufte Schwachstelle betrifft auch alle Windows-Versionen. Bei Windows steckt das SMB-Protokoll in der Datei- und Druckerfreigabe. Microsoft und das Samba-Team haben gemeinsam an einer Lösung gearbeitet und diese koordiniert am 12. April veröffentlicht. Ein Angreifer könnte durch einen Man-in-the-Middle-Angriff die Identität eines angemeldeten Benutzers annehmen und sich so höhere Berechtigungen verschaffen.

MS16-048 – CSRSS (hoch)
Eine Schwachstelle im CSRSS (Client/Server Runtime Subsystem) betrifft Windows ab 8.1, RT sowie Server 2012 und neuer. Windows verarbeitet Prozesstoken im Speicher nicht ordnungsgemäß. Ein als Benutzer angemeldeter Angreifer, der dies erfolgreich ausnutzt, kann beliebigen Code mit Administratorrechten ausführen.

MS16-049 – HTTP.sys (hoch)
Bei der Verarbeitung speziell gestalteter HTTP 2.0-Anforderungen macht Windows 10 Fehler, die einen erfolgreichen DoS-Angriff (Denial of Service) ermöglichen.

MS16-050 – Flash Player Update (kritisch)
Adobe hat am 7. April den neuen Flash Player 21.0.0.213 bereit gestellt, mit der der Hersteller 24 Sicherheitslücken beseitigt. Darunter ist auch eine, die bereits für Angriffe ausgenutzt wird, etwa um Windows-Rechner mit der Ransomware Locky zu infizieren. In diesem Bulletin dokumentiert Microsoft die Verfügbarkeit entsprechender Updates für den Flash Player, der in Internet Explorer 11 (ab Windows 8.1) und Edge (Windows 10) integriert ist.

Außerdem verteilt Microsoft wie üblich sein Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustart nötig?

MS16-037

kritisch

1

RCE

Windows (alle); Internet Explorer

ja

MS16-038

kritisch

1

RCE

Windows 10; Edge

ja

MS16-039

kritisch

0

RCE

Windows (alle), Office; Kernel (Win32k.sys), Schriftartenbibliothek

ja

MS16-040

kritisch

2

RCE

Windows (alle); MSXML 3.0

u.U.

MS16-041

hoch

2

RCE

Windows Vista, 7, Server 2008, 2008 R2; .NET Framework 4.6.*

u.U.

MS16-042

kritisch

1

RCE

Office (alle, auch für Mac); RTF- und Office 2003-Dateien

u.U.

MS16-044

hoch

1

RCE

Windows (alle außer 10); OLE

ja

MS16-045

hoch

3

RCE

Windows 8.1, 10, Server 2012, 2012 R2; Hyper-V

ja

MS16-046

hoch

2

EoP

Windows 10; sekundärer Anmeldedienst

ja

MS16-047

hoch

3

EoP

Windows (alle); SAM- und LSAD-Remoteprotokolle, RPC

ja

MS16-048

hoch

2

SFB

Windows (alle); CSRSS

ja

MS16-049

hoch

3

DoS

Windows 10; HTTP.sys

ja

MS16-050

kritisch

0

RCE

Windows ab 8.1; IE/Edge – Flash Player

ja

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS – Denial of Service: Dienstverweigerung / Software-Absturz
SFB – Security Feature Bypass: Umgehen einer Sicherheitsfunktion

Ausnutzbarkeit:
0 – wird bereits ausgenutzt
1 – Ausnutzung wahrscheinlich
2 – Ausnutzung weniger wahrscheinlich
3 – Ausnutzung unwahrscheinlich


0 Kommentare zu diesem Artikel
2189966