Patch Day: Microsoft schließt 0-Day-Lücke in Windows

Von den je nach Zählweise bis zu 66 am 14. September behobenen Schwachstellen stuft Microsoft nur drei als kritisch ein, den Rest bis auf eine als hohes Risiko. Kritische Lücken betreffen Windows und das Open-Source-Projekt Open Management Infrastructure. Zwei Schwachstellen waren vorab öffentlich bekannt, eine dieser Lücken (CVE-2021-40444) wird bereits ausgenutzt. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf. Browser Die 0-Day-Lücke CVE-2021-40444 steckt im Modul MSHTML und kann daher als IE-Komponente gelten. Sie wird folgerichtig in älteren Windows-Versionen durch ein kumulatives Update für den Internet Explorer (KB5005563) geschlossen. Betroffen sind alle Windows-Versionen einschließlich der Server-Editionen. Das jüngste Sicherheits-Update für Edge (Chromium) ist die Version Version 93.0.961.47, die bereits seit 11. September verfügbar ist. Sie basiert noch auf Chromium 93.0.4577.63, enthält jedoch laut Microsoft bereits einen Patch gegen die 0-Day-Lücke CVE-2021-30632. Diese hat Google am 13. September mit dem Update auf Chrome 93.0.4577.82 geschlossen. Etliche weitere Schwachstellen, die Google mit dem Chrome-Update behoben hat, dürften noch in der aktuellen Edge-Version stecken. Office In seiner Office-Familie hat Microsoft in diesem Monat 12 Schwachstellen beseitigt. Microsoft weist alle Lücken als hohes Risiko aus. Neun Lücken sind geeignet, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen. Je eine dieser Schwachstellen betrifft Word (CVE-2021-38656) und Excel (CVE-2021-38655), zwei stecken in Visio (CVE-2021-38653, -38654). Die 0-Day-Lücke CVE-2021-40444 in MSHTML wird mittels präparierter Office-Dokumente für Angriffe per Mail genutzt. Darin ist ein schädliches ActiveX-Element eingebettet. ActiveX abzuschalten dürfte als Schutz unzureichend sein, da diese Schutzmaßnahme umgangen werden kann. Windows Die Mehrzahl der Schwachstellen (34) verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen. ▶Die neuesten Sicherheits-Updates Eine der beiden als kritisch ausgewiesenen Sicherheitslücken in Windows ist CVE-2021-36965 im WLAN AutoConfig-Dienst. Ein Angreifer, der sich in WLAN-Reichweite befindet, könnte ohne Benutzerinteraktion beliebigen Code einschleusen und mit Systemrechten ausführen. Damit kann er die komplette Kontrolle über das angegriffene System übernehmen. Das kann etwa in einem Café oder an einem anderen öffentlichen Ort passieren, wo mehrere Personen ein ungesichertes WLAN nutzen. Betroffen sind alle Windows-Versionen inklusive Server. Tatsächliche Angriffe dieser Art sind bislang noch nicht bekannt. Die zweite kritische Windows-Lücke (CVE-2021-26435) steckt in der Windows-Skript-Engine. Ein Angreifer könnte einem potenziellen Opfer eine präparierte Datei per Mail senden oder ihn auf eine speziell vorbereitete Web-Seite locken. Im Erfolgsfall könnte der Angreifer beliebigen Code einschleusen, der mit Benutzerrechten ausgeführt würde. Anfällig sind alle Windows-Versionen inklusive Server. Extended Security Updates (ESU) Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 24 Lücken schließen. Darunter sind auch die oben genannten, als kritisch eingestuften Windows-Lücken. Praktisch exklusiv erhalten ESU-Kunden Updates gegen die bereits vorab bekannt gewordene Schwachstelle CVE-2021-36968 im DNS-Dienst von Windows 7 sowie Server 2008 und 2008 R2. Der nächste turnusmäßige Update-Dienstag ist am 12. Oktober.