2500890

Microsoft schließt vier 0-Day-Lücken [Update]

15.04.2020 | 11:11 Uhr | Frank Ziemann

Beim Update-Dienstag im April hat Microsoft insgesamt 113 Sicherheitslücken geschlossen. Darunter sind 19 Lücken, die Microsoft als kritisch einstuft und drei, die bereits für Angriffe genutzt werden.

Unter den von Microsoft am 14. April geschlossenen 113 Sicherheitslücken sind 19 Schwachstellen, die Microsoft als kritisch einstuft. Diese betreffen Windows, den Internet Explorer, Edge, Office, Hyper-V und Dynamics Business Central. Die übrigen Lücken stuft Microsoft als hohes Risiko ein. Drei Schwachstellen werden bereits ausgenutzt, eine weitere war schon vorab öffentlich bekannt. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI und Bleeping Computer das Thema Patch Day auf.

Internet Explorer (IE)
Das neue kumulative Sicherheits-Update (4550905) für den Internet Explorer 10 bis 11 beseitigt vier Schwachstellen in dem Uralt-Browser. Microsoft stuft zwei der Lücken als kritisch ein. [Update:] Die Schwachstelle CVE-2020-0968 hatte Microsoft ursprünglich als für Angriffe genutzt gekennzeichnet, dies jedoch inzwischen korrigiert. [/Update]

Edge
Im IE-Nachfolger Edge (EdgeHTML-basiert) hat Microsoft im April zwei Sicherheitslücken beseitigt. Beide Lücken stuft Microsoft als kritisch ein. Die neue Generation Edge (Chromium-basiert) erhält Sicherheits-Updates außerhalb des Update-Dienstags über die im Browser integrierte Aktualisierungsfunktion. Die neueste Version 81.0.416.53 hat Microsoft bereits einen Tag vorher veröffentlicht. Edge (Chromium-basiert) ist damit wieder auf dem gleichen Stand wie Google Chrome .

Office
In seinen Office-Produkten hat Microsoft in diesem Monat 28 Sicherheitslücken beseitigt. Microsoft stuft fünf dieser Schwachstellen als kritisch ein, die alle Sharepoint betreffen. Außerdem behebt Microsoft weitere neun XSS-Lücken in Sharepoint. Zwei Excel- und eine Word-Schwachstelle können es einem Angreifer ermöglichen, mit speziell präparierten Office-Dokumenten beliebigen Code einzuschleusen und mit Benutzerrechten auszuführen.

Windows
Der überwiegende Teil der Schwachstellen, nämlich 68 Lücken, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates anbietet. Microsoft stuft neun Windows-Lücken als kritisch ein. Windows 7 wird zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.

Angriffe mit 0-Day-Lücken auf Windows 7
Vergrößern Angriffe mit 0-Day-Lücken auf Windows 7

Bestes oder schlimmstes Beispiel ist die bereits im März bekannte gewordene Sicherheitslücke CVE-2020-1020 in der Adobe Type Manager Bibliothek (atmfd.dll). Seit Wochen gibt gibt es Angriffe auf Windows-7-Rechner, bei denen diese Lücke ausgenutzt wird. Gleiches gilt auch für CVE-2020-0938: Auch hier ist das Laden von Schriftartdateien (Fonts) in älteren Windows-Versionen das Problem, es gibt entsprechende Angriffe und Updates erhalten nur die ESU-Kunden. Bei beiden Lücken müssen sich normale Windows-7-Nutzer dauerhaft mit den von Microsoft angegebenen Workarounds behelfen.

Drei kritische Schwachstellen (CVE-2020-0948/49/50) hat Microsoft in der Windows Media Foundation gestopft. Diese betreffen nur neuere Windows-Versionen, also Windows 10 und die zugehörigen Server-Versionen. Hinzu kommen noch fünf Sicherheitslücken, die zur Offenlegung vertraulicher Informationen genutzt werden könnten. In allen Windows-Versionen hat Microsoft eine als kritisch geltende Schwachstelle in der Codec-Bibliothek geschlossen. Diese ließe sich mit einer präparierten Bilddatei ausnutzen, um Code einzuschleusen und auszuführen.

Im Kernel aller Windows-Versionen (7 bis 10 sowie Server 2008 bis 2019) schließt Microsoft eine Lücke (CVE-2020-1027), deren Ausnutzung einem Angreifer höhere Berechtigungen verschafft. Auch diese Lücke wird bereits bei Angriffen genutzt. Die OneDrive Desktop-App für Windows weist eine als hohes Risiko geltende Schwachstelle (CVE-2020-0935) auf. Ein Angreifer könnte sich höhere Berechtigungen verschaffen. Die Lücke gilt als „0-Day“, da sie bereits vorab öffentlich bekannt war. Angriffe gibt es jedoch laut Microsoft nicht.

Hyper-V
In Microsofts Virtualisierungslösung Hyper-V hat der Hersteller eine Sicherheitslücke (CVE-2020-0910) geschlossen, die er als kritisch einstuft. Zwei weitere Schwachstellen gelten nur als hohes Risiko. Sie können ausgenutzt werden, um sich höhere Berechtigungen zu verschaffen.

Dynamics Business Central
In der Unternehmens-Software Dynamics NAV 2013 bis 2018 sowie Dynamics 365 hat Microsoft erneut eine kritische Schwachstelle (CVE-2020-1022) behoben, die in Dynamics Business Central steckt. Ein Angreifer mit gültiger Benutzeranmeldung müsste einen anderen Benutzer dazu bringen, sich mit einem manipulierten Dynamics Business Central Client zu verbinden. Der Angreifer könnte dann beliebige Shell-Befehle auf dem Rechner seines Opfers ausführen. Diese Lücke scheint der aus dem Vormonat sehr ähnlich zu sein.

Im April gibt es kein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Patch Day ist am 12. Mai. Ab Mai will Microsoft wegen der COVID-19-Pandemie erstmal auf unbestimmte Zeit keine optionalen Updates für Windows 10 ausliefern, die typischerweise nach dem Update-Dienstag in der zweiten Monatshälfte folgen. Sicherheitsrelevante Updates sind davon nicht betroffen.


PC-WELT Marktplatz

2500890