Patch-Day: Microsoft schließt mehrere 0-Day-Lücken

Microsofts Patch Day im Mai liefert Sicherheits-Updates für etliche Microsoft-Produkte. Darunter sind Windows, der Internet Explorer, Edge, das .NET Framework, Office und Microsofts Anti-Malware-Tools. Microsoft stuft 15 dieser Schwachstellen als kritisch ein. Drei Lücken werden bereits für Angriffe ausgenutzt, für drei weitere ist Exploit-Code öffentlich verfügbar. Für Windows Vista gibt es keine Updates mehr, für Windows 10 1507 ist dies das letzte Mal. Security Bulletins veröffentlicht Microsoft nicht mehr. Interessierte müssen sich Informationen stattdessen mit dem Security Update Guide erarbeiten. Internet Explorer Im Internet Explorer 9 bis 11 schließt Microsoft im Wesentlichen vier Sicherheitslücken. Mit CVE-2017-0222 ist auch eine darunter, die bereits für Angriffe ausgenutzt wird. Sie betrifft die IE-Versionen 10 und 11. Zwei weitere Schwachstellen, CVE-2017-0064 und CVE-2017-0231, sind bereits länger bekannt – Exploit-Code für diese Lücken ist öffentlich verfügbar. Zu den vier Lücken kommen mehrere hinzu, die das Script-Modul betreffen. Edge Im noch recht jungen Browser Edge beseitigt Microsoft erneut mehr Schwachstellen als im IE. Im Mai sind es sieben Lücken, hinzu kommen noch die Schwachstellen im Script-Modul. Für drei Edge-Lücken ist Exploit-Code öffentlich verfügbar, entsprechende Angriffe sind jedoch bislang nicht bekannt. Office Sieben Lücken sind auch in Office-Produkten zu stopfen. Sechs dieser Schwachstellen sind geeignet, um Code einzuschleusen und auszuführen. Darunter ist eine, CVE-2017-0261, die bereits für Angriffe genutzt wird. Sie lässt sich mit eingebetteten EPS-Grafiken nutzen. Beim Patch Day im April hatte Microsoft bereits ein Update ausgeliefert, das die EPS-Importfilter deaktiviert. Wer dieses Update installiert hat, ist auch vor Angriffen auf die neue Schwachstelle geschützt. Anti-Malware Die Microsoft Malware Protection Engine ist das Scan-Modul und somit der Kern aller Antivirusprodukte aus dem Hause Microsoft. Eine kritische Lücke in diesem Modul hat schon im Vorfeld dieses Update-Dienstags für einigen Wirbel gesorgt. Die Google-Forscher Tavis Ormandy und Natalie Silvanovich reklamierten die Entdeckung der „Wurm-tauglichen“ Schwachstelle bereits vor dem letzten Wochenende für sich, nannten jedoch die betroffene Software nicht. Die Schwachstelle lässt sich sehr einfach ausnutzen: Eine Mail mit einem präparierten Anhang genügt. Wird der Anhang durch ein Microsoft-Produkt auf Malware geprüft, schlägt der Exploit-Code zu. Schädlicher Code wird eingeschleust und ausgeführt.

Anfällig sind etwa Windows Defender, Microsoft Security Essentials sowie Microsoft-Produkte, die „Forefront“ und/oder „Endpoint Protection“ im Namen tragen. Updates für die Malware Protection Engine gibt es ohnehin regelmäßig. Sie werden ohne Zutun der Benutzer installiert. Modulversionen ab 1.1.13704.0 sind nicht mehr anfällig. Windows, SMB Im Windows-Freigabedienst muss Microsoft weitere 14 Lücken schließen. Vier dieser Schwachstellen stuft Microsoft als kritisch ein. Sie eignen sich, um eingeschleusten Code im Systemkontext auszuführen. Drei Lücken taugen immerhin für DoS-Attacken. Windows, Kernel Insgesamt neun Sicherheitslücken verteilen sich über die Kernel aller Windows-Versionen. Alle sind als hohes Risiko eingestuft, drei können durch Angreifer ausgenutzt werden, um sich höhere Berechtigungen zu verschaffen. Eine dieser drei Lücken (CVE-2017-0263) wird bereits für Angriffe ausgenutzt. Da das in diesem Fall eine lokale Benutzeranmeldung erfordert, kombinieren Angreifer die Lücke mit aus der Ferne ausnutzbaren Schwachstellen – etwa die oben genannten Browser- oder Office-Lücken. Windows und .NET Die übrigen durch Sicherheits-Updates beseitigten Schwachstellen sind DoS-Lücken im DNS-Dienst und in der Grafikschnittstelle GDI sowie eine Lücke im .NET Framework. Diese Schwachstelle kann es einem Angreifer ermöglichen Sicherheitsmechanismen zu umgehen. Flash Player Der im Internet Explorer 11 (ab Windows 8.1) und in Edge integrierte Flash Player erhält ein Update auf die neue Version 25.0.0.171. Es beseitigt sieben als kritisch eingestufte Schwachstellen. Angriffe, die eine der Lücken ausnutzen würden, sind bislang nicht bekannt. Wurm-Kur Außerdem gibt es, wie in jedem Monat, auch im Mai das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.