2547027

0-Day-Lücke in Windows geschlossen

11.11.2020 | 09:42 Uhr | Frank Ziemann

Beim Update-Dienstag im November hat Microsoft insgesamt 112 Sicherheitslücken geschlossen. Darunter sind 17 Schwachstellen, die Microsoft als kritisch einstuft und eine bereits seit Oktober für Angriffe genutzte Schwachstelle.

Mit 112 gestopften Lücken im November erreicht Microsoft wieder das in diesem Jahr gewohnte Niveau. Die 17 als kritisch ausgewiesenen Sicherheitslücken betreffen Windows, Internet Explorer, Edge Legacy (EdgeHTML) und Azure Sphere. Die übrigen Lücken stuft Microsoft bis auf zwei als hohes Risiko ein. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im neu gestalteten Leitfaden für Sicherheitsupdates . Der ist durch den Facelift keineswegs übersichtlicher geworden und bietet nun noch weniger Informationen: Es fehlen die Beschreibungstexte zu den einzelnen Schwachstellen, etwa zu möglichen Angriffsvektoren. Wie gewohnt weit übersichtlicher bereitet etwa Dustin Childs im Blog von Trend Micro ZDI das Thema Patch Day auf, kann jedoch Microsofts Informationsgeiz nur zum Teil kompensieren.

Internet Explorer (IE)
In seinem schon seit Jahren nicht mehr weiterentwickelten Browser Internet Explorer 11 hat Microsoft drei Sicherheitslücken geschlossen. Alle sind als kritisch eingestuft. Zwei der Lücken teilt sich der IE mit seinem früh pensionierten Nachfolger.

Edge
Der IE-Nachfolger Edge (EdgeHTML) erhält ein Update, das vier Sicherheitslücken schließt. Drei davon sind als kritisch ausgewiesen, eine als hohes Risiko. Für den neuen Edge (Chromium-basiert) hat es bereits in der letzten Woche ein Update auf die neue Version 86.0.622.63 gegeben. Diese basiert auf Chromium 86.0.4240.183.
 
Office
In seiner Office-Familie hat Microsoft in diesem Monat 15 Schwachstellen beseitigt. Microsoft weist keine dieser Schwachstellen als kritisch aus, vielmehr sind alle bis auf eine als hohes Risiko eingestuft. Sieben Lücken, vier davon in Excel und eine in Sharepoint, sind geeignet, um mit präparierten Dokumenten Code einzuschleusen und auszuführen. Microsoft weist solche Schwachstellen jedoch in aller Regel nicht als kritisch aus, da ein Benutzer ein solches Dokument zunächst öffnen muss, damit Schadcode wirken kann.

Windows
Der überwiegende Teil der Schwachstellen, 68, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.

Microsoft stuft 12 Windows-Lücken als kritisch ein. Allein zehn davon betreffen optionale Medienerweiterungen, besser bekannt als Codecs. Diese sind nicht ab Werk in Windows enthalten, sondern können über den Microsoft Store installiert werden. Dieser kümmert sich auch automatisch um Updates. Fünf kritische Schwachstellen sind im Videocodec HEVC (H.265) beseitigt worden, drei in der Raw Image Extension (Fotos, Kamerarohdaten, RAW-Formate) sowie je eine in AV1-Codec (Video) und im HEIF-Codec (Fotos, iPhone).

Die beiden anderen kritischen Schwachstellen betreffen den Druckerspooler aller Windows-Versionen (CVE-2020-17042) sowie das Netzwerkdateisystem (NFS), ebenfalls in allen Windows-Versionen (CVE-2020-17051). Da Microsoft die Beschreibungen zu den Sicherheitslücken eingespart hat, lässt sich darüber wenig aussagen. Dustin Childs empfiehlt, die NFS-Lücke als Wurm-tauglich zu behandeln, bis gegenteilige Informationen bekannt werden. Soll heißen: so schnell wie möglich das Update einspielen, auch und insbesondere auf Windows Server.

0-Day-Lücke
Die Sicherheitslücke CVE-2020-17087 im Windows-Kernel war bereits vorab bekannt, gilt somit als 0-Day-Lücke. Sie ermöglicht eine lokale Rechteausweitung bei der Programmausführung. Angriffe, bei denen diese Lücke ausgenutzt wird, sind seit Oktober bekannt. Google hat Informationen darüber veröffentlicht, da seine Sicherheitsforscher die Schwachstelle bei der Untersuchung von Angriffen auf den Browser Chrome entdeckt haben. Die Windows-Lücke wird im Zusammenspiel mit einer Freetype-Schwachstelle in Chrome (CVE-2020-15999) für Attacken genutzt. Genauer gesagt nutzen Angreifer zunächst die Freetype-Lücke, um aus der Browser-Sandbox auszubrechen. So können sie eingeschleusten Code auf Systemebene ausführen, dem sie mit der Windows-Lücke hohe Privilegien verschaffen, um die Kontrolle über das System zu übernehmen. Wie verbreitet diese Angriffe sind, ist weiterhin unklar.

Azure Sphere
In seiner IoT-Software Azure Sphere hat Microsoft 15 Sicherheitslücken geschlossen. Eine davon ist als kritisch eingestuft (CVE-2020-16988). Wenn Ihre IoT-Geräte (Internet of Things) am Internet hängen, suchen sie in der Regel täglich selbst nach Updates und haben diese inzwischen längst installiert.

Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 20 Lücken schließen. Darunter sind zwei als kritisch ausgewiesene Schwachstellen: die Druckerspooler- und die NFS-Lücke.

Im November gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software . Der nächste turnusmäßige Patch Day ist am 8. Dezember.


PC-WELT Marktplatz

2547027