Microsoft schließt 0-Day-Lücke im IE

Mit 120 gestopften Lücken im August schließt Microsoft zum sechsten Mal in Folge und zum siebten Mal in diesem Jahr mehr als 100 Sicherheitslücken in einem Monat. Mit bislang 862 in diesem Jahr gestopften Lücken übertrifft Microsoft bereits jetzt die Gesamtzahl des Vorjahres (851). Die 17 als kritisch ausgewiesenen Sicherheitslücken betreffen Windows, den Internet Explorer, Edge (EdgeHTML), Outlook sowie das .NET Framework. Die übrigen Lücken stuft Microsoft als hohes Risiko ein. Zwei der Schwachstellen werden bereits ausgenutzt, eine davon war schon vorab öffentlich bekannt. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI und Bleeping Computer das Thema Patch Day auf.

Internet Explorer (IE) Das neue kumulative Sicherheits-Update (4571687) für den Internet Explorer 11 beseitigt drei Schwachstellen in dem mächtig in die Jahre gekommenen Browser. Microsoft stuft alle drei Lücken als kritisch ein. Eine der Schwachstellen (CVE-2020-1380) wird bereits für Angriffe im Web genutzt. Sie ist durch den Kaspersky-Forscher Boris Larin entdeckt worden. Das legt nahe, dass es bei den Angriffen um die Verbreitung von Malware geht. Seit 11. Februar 2020 liefert Microsoft nur noch Updates für den IE 11. Wer Windows Server 2012 oder Windows Embedded 8 einsetzt, kann ein Update installieren, das den IE 10 auf Version 11 bringt, um weiterhin Sicherheits-Updates zu erhalten. Edge Im IE-Nachfolger Edge (EdgeHTML-basiert) hat Microsoft im August ebenfalls drei Sicherheitslücken beseitigt. Zwei der Lücken stuft Microsoft als kritisch ein. Eine davon (CVE-2020-1568) betrifft den in Edge enthaltenen PDF-Viewer. Die neue Generation Edge (Chromium-basiert) erhält Sicherheits-Updates außerhalb des Update-Dienstags über die im Browser integrierte Aktualisierungsfunktion. Die neueste Version 84.0.522.59 hat Microsoft eher zufällig ebenfalls am 11. August veröffentlicht, da Google tags zuvor ein Sicherheits-Update für Chrome bereitgestellt hatte. Office In seiner Office-Produktfamilie hat Microsoft in diesem Monat 20 Sicherheitslücken beseitigt. Microsoft weist nur eine dieser Schwachstellen als kritisch aus. Die Outlook-Lücke (CVE-2020-1483) ermöglicht es einem Angreifer, eingeschleusten Code auszuführen, wenn ein präparierter Mail-Anhang auch nur in der Vorschau angezeigt wird. Mehrere Excel-Schwachstellen ermöglichen es, mit speziell präparierten Office-Dokumenten Code einzuschleusen und auszuführen. Eine artverwandte Lücke findet sich auch in Access. In Word gibt es mehrere Datenlecks. Windows Der überwiegende Teil der Schwachstellen, 85 Lücken, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen. Microsoft stuft neun Windows-Lücken als kritisch ein. Allein fünf entfallen auf die Windows Media Foundation. Drei weitere betreffen die Windows Codec-Bibliothek und können mit speziell präparierten Bilddateien ausgenutzt werden. Zwei dieser Lücken stecken in der optionalen AV1 Video Extension aus dem Microsoft Store. Und nur dort gibt es bei Bedarf auch die Updates – im Regelfall automatisch über die Store App. Das gilt auch für den standardmäßig installierten WebP-Codec, in dem die dritte dieser Lücken steckt.

Mit der PowerShell können Sie überprüfen, ob Sie die aktuelle WebP-Version (1.0.31251.0 oder neuer) installiert haben:

Für den AV1-Codec, dessen abgesicherte Fassung die Versionsnummer 1.1.31753.0 (oder höher) trägt, verfahren Sie analog:

Führt dieser Befehl zu keiner Reaktion, ist die AV1 Video Extension nicht installiert. Sie können die Versionsnummer auch über Einstellungen  » Apps & Features herausfinden.

Es kommt nicht so oft vor, dass eine Sicherheitslücke als kritisch eingestuft wird, über die sich ein Angreifer höhere Berechtigungen verschaffen könnte (EoP: Elevation of Privilege). Doch bei CVE-2020-1472 ist dies durchaus angebracht. Alle Windows Server sind anfällig für diese Schwachstelle im Netlogon Remote Protocol (MS-NRPC). Ein nicht angemeldeter Angreifer könnte sich mittels MS-NRPC mit einem Domänen-Controller verbinden und sich zum Domänen-Administrator machen. Als solcher könnte er auf jedem ans Netzwerk angeschlossenen Gerät seine eigenen Programme ausführen – mit allen Konsequenzen. Ein Update, dass diesen Fehler komplett beseitigt, ist noch nicht erhältlich. Das derzeit angebotene Update ermöglicht es einem Domänen-Controller, kompatible Netzwerkgeräte zu schützen. Doch ein Update, das den Fehler im Netlogon beheben soll, hat Microsoft erst für das erste Quartal 2021 (ab 9. Februar) in Aussicht gestellt. Microsoft hat eine Hilfeseite zu erforderlichen Konfigurationsänderungen am Domänen-Controller veröffentlicht. Beim Update-Dienstag im Mai hatte Microsoft die EoP-Sicherheitslücke CVE-2020-1048 im Drucker-Spooler gestopft. Kaum zwei Wochen nach dem Patch Day war klar, dass der Stopfen nicht hält. Wer die Lücke ausnutzt, kann eine dauerhafte (persistente) Hintertür installieren, die auch die spätere Installation des Updates überlebt. Im August hat Microsoft nachgebessert, dem nicht gestopften Teil der Lücke mit CVE-2020-1337 eine neue Nummer verpasst und ein neues Update bereitgestellt. Extended Security Updates (ESU) Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 41 Lücken schließen. Darunter sind drei als kritisch ausgewiesene Schwachstellen. Auch im August gibt es offenbar kein neues Windows-Tool zum Entfernen bösartiger Software . Microsoft liefert seit Mai nur noch alle drei Monate eine neue Version aus. Demnach hätte es im August eine frische Wurmkur geben sollen. Der nächste turnusmäßige Patch Day ist am 8. September.