2604255

Patch Day: Microsoft beseitigt 44 Lücken

11.08.2021 | 09:36 Uhr | Frank Ziemann

Beim Update-Dienstag im August hat Microsoft insgesamt 44 Sicherheitslücken geschlossen. Darunter sind sieben Schwachstellen, die Microsoft als kritisch einstuft und drei 0-Day-Lücken.

Die Anzahl der beim Patch Day beseitigten Schwachstellen ist im August gegenüber dem Vormonat stark gesunken. Von den lediglich 44 am 10. August behobenen Schwachstellen stuft Microsoft sieben als kritisch ein, den Rest als hohes Risiko. Kritische Lücken betreffen nur Windows. Zwei Schwachstellen waren vorab öffentlich bekannt, eine dritte Lücke (CVE-2021-36948) wird bereits ausgenutzt. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf.

Browser
Auch wenn Microsofts Leitfaden keine Updates in der Kategorie Browser ausweist, hält der Hersteller doch ein wichtiges Browser-Update bereit. Die als kritisch eingestufte Schwachstelle CVE-2021-34480 steckt im Skriptmodul und kann daher als IE-Komponente gelten. Sie wird folgerichtig in älteren Windows-Versionen durch ein kumulatives Update für den Internet Explorer (KB5005036) geschlossen. Betroffen sind alle Windows-Versionen von 7 bis 10, RT 8.1 sowie Server 2008 R2 bis 2019. Die ebenfalls als kritisch ausgewiesene Schwachstelle CVE-2021-34534 in der Windows MSHTML-Plattform betrifft nur Windows 10 sowie die zugehörigen Server-Editionen.

Das jüngste Sicherheits-Update für Edge (Chromium) ist die Version 92.0.902.67 vom 5. August. Sie basiert auf Chromium 92.0.4515.131 .

Office
In seiner Office-Familie hat Microsoft in diesem Monat lediglich drei Schwachstellen beseitigt. Microsoft weist alle drei Lücken als hohes Risiko aus. Zwei Lücken sind geeignet, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen. Eine dieser Schwachstellen (CVE-2021-36941) steckt in Word.

Windows
Die Mehrzahl der Schwachstellen (28) verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.

Windows 10 Pro für nur 50 Euro im PC-WELT Software-Shop

Weitere Drucker-Lücken
Mit CVE-2021-36936 gibt es in diesem Monat wieder eine neue Schwachstelle in der Druckwarteschlange (Print Spooler) aller Windows-Versionen. Sie ist bereits vorab öffentlich bekannt gewesen (0-Day-Lücke), für Angriffe wird sie jedoch bislang nicht genutzt. Im Juli hatte Microsoft die zu diesem Zeitpunkt bereits für Angriffe genutzte „PrintNightmare“-Lücke (CVE-2021-34527) gestopft. Außerdem beseitigt Microsoft noch zwei Schwachstellen im Drucker-Spooler, mit deren Hilfe sich ein Angreifer höhere Berechtigungen verschaffen könnte (EoP: Elevation of Privilege).

Zu den bislang nicht bekannten, als kritisch eingestuften Windows-Schwachstellen gehört CVE-2021-34535 im Remote Desktop Client (CVSS 9.9). Kann eine Angreifer einen Benutzer dazu bringen, sich mit einem fremdbestimmten RDP-Server zu verbinden, kann der Angreifer die Kontrolle über das System übernehmen. Wird ein entsprechend präpariertes Schadprogramm in einem Gastsystem unter Hyper-V ausgeführt, kann es Code auf dem Host ausführen.

Nicht als kritisch eingestuft ist hingegen die LSA-Spoofing-Lücke CVE-2021-36942 in Windows Server 2008 bis 2012 R2. Sie war bereits vorab öffentlich bekannt. Angriffe gibt es bislang nicht. Vor allem Domänen-Controller sollten umgehend abgesichert werden. Weitere wichtige Hinweise dazu liefert Microsoft in der Sicherheitsempfehlung ADV210003 .

Unter Beschuss
Bereits für Angriffe ausgenutzt wird die Schwachstelle CVE-2021-36948 im bei Windows 10 neu eingeführten „Windows Update Medic Service“. Dieser Dienst soll beschädigte Komponenten von Windows Update reparieren, sodass der betreffende Rechner weiterhin Updates erhält. Um die Lücke auszunutzen, muss sich ein Angreifer am System anmelden und ein präpariertes Programm ausführen. Damit kann er sich höhere Berechtigungen verschaffen. Microsoft macht keine Angaben dazu, wie verbreitet die Angriffe auf diese Schwachstelle sind.

Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 13 Lücken schließen. Darunter sind auch die oben genannte LSA-Schwachstelle CVE-2021-36942 und die Drucker-Spooler-Lücke CVE-2021-36936.

Auch im August gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software. Der nächste turnusmäßige Update-Dienstag ist am 14. September.


PC-WELT Marktplatz

2604255