2580486

Patch Day: Microsoft beseitigt kritische Exchange-Lücken

14.04.2021 | 09:11 Uhr | Frank Ziemann

Beim Update-Dienstag im April hat Microsoft insgesamt 108 Sicherheitslücken geschlossen. Darunter sind 19 Schwachstellen, die Microsoft als kritisch einstuft.

Erstmals in diesem Jahr übersteigt die Zahl der beim monatlichen Patch Day beseitigten Schwachstellen die 100er-Marke. Unter den 108 am 13. April behobenen Schwachstellen stuft Microsoft 19 als kritisch ein, den Rest bis auf eine als hohes Risiko. Kritische Lücken betreffen Windows, Exchange Server, Azure Sphere sowie Video-Decoder. Spärliche Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Patch Day auf.

Browser
Für den Internet Explorer 11 liefert Microsoft diesmal keine Updates. Der alte Edge-Browser (EdgeHTML-basiert) soll, soweit noch vorhanden, mit den April-Updates aus allen Windows-Installationen entfernt werden. Die Updates für Edge (Chromium-basiert) liefert Microsoft unabhängig vom Patch Day aus.

Office
In seinen Office-Produkten hat Microsoft in diesem Monat sieben Schwachstellen beseitigt. Microsoft weist keine dieser Schwachstellen als kritisch aus, vielmehr sind alle als hohes Risiko eingestuft. Fünf Lücken, zwei davon in Excel sowie je eine in Word und Outlook, sind jedoch geeignet, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen. Microsoft weist solche Schwachstellen in aller Regel nicht als kritisch aus, da ein Benutzer ein solches Dokument zunächst öffnen muss, damit Schadcode wirken kann. Zum Teil ist auch Office 2019 für Mac betroffen.

Windows
Der überwiegende Teil der Schwachstellen (83) verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.

Microsoft stuft 14 Windows-Lücken als kritisch ein. Allein 12 davon sind RPC-Schwachstellen (Remote Procedure Call), die genutzt werden könnten, um Code im Kontext eines anderen Benutzers auszuführen. Weitere 15 dieser RPC-Lücken sind als hohes Risiko eingestuft. Betroffen sind alle Windows-Versionen ab 7 und Server 2008. Offenbar wurden alle diese Lücken durch denselben externen Sicherheitsforscher entdeckt.

➤Support-Ende für Windows 10 Version 1909 naht


Die beiden verbleibenden kritischen Windows-Schwachstellen (CVE-2021-27095, CVE-2021-28315) betreffen den Video-Decoder in allen unterstützten Windows-Versionen. Wird ein entsprechend präpariertes Video geöffnet, etwa in eine Web-Seite eingebettet, kann beliebiger Code eingeschleust und mit den Rechten des angemeldeten Benutzers ausgeführt werden.

Unter Beschuss
Die Schwachstelle CVE-2021-28310 im Windows-Kernel (Win32k) betrifft alle Ausgaben von Windows 10 sowie die zugehörigen Server-Editionen. Microsoft stuft sie zwar nicht als kritisch ein, sie wird jedoch bereits bei Angriffen ausgenutzt, um höhere Berechtigungen zu erlangen. Solche Sicherheitslücken werden oft in Kombination mit weiteren Schwachstellen eingesetzt. Die Lücke ist von Kaspersky Lab im Februar entdeckt und gemeldet worden. Laut Kasperskys Boris Larin , dem Entdecker der Lücke, steckt sie in der Bibliothek dwmcore.dll, die Teil des Desktop-Fenstermanagers (dwm.exe) ist.

Exchange Server
Nachdem Microsoft bereits Anfang März einige Exchange-Lücken schließen musste, die noch immer für Angriffe genutzt werden, reißt der Nachschub mit neuen Schwachstellen nicht ab. Der US-Geheimdienst NSA hat vier Exchange-Lücken (CVE-2021-28480/-81/-82/-83) an Microsoft gemeldet, die alle als kritisch ausgewiesen sind. Sie betreffen Exchange Server 2013, 2016 und 2019. Microsoft sieht es als recht wahrscheinlich an, dass sie in absehbarer Zeit bei Angriffen ausgenutzt werden.

Noch keine Updates gibt es gegen mehrere Exchange-Lücken, die in der letzten Woche beim Hacker-Wettbewerb Pwn2Own erfolgreich demonstriert worden sind. Die dabei genutzten Exploits sind nicht öffentlich, liegen Microsoft jedoch seitdem vor. Wie lange es dauert, bis Microsoft diese Schwachstellen beheben wird, bleibt abzuwarten.

Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 50 Lücken schließen. Darunter sind auch die 14 oben genannten, als kritisch ausgewiesenen Windows-Schwachstellen.

Auch im April gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software, das es diesmal in sich hat. Der nächste turnusmäßige Patch Day ist am 11. Mai.


PC-WELT Marktplatz

2580486