2566833

Patch Day: Microsoft stopft 0-Day-Lücke in Windows

10.02.2021 | 08:31 Uhr | Frank Ziemann

Beim Update-Dienstag im Februar hat Microsoft insgesamt 56 Sicherheitslücken geschlossen. Darunter sind elf Schwachstellen, die Microsoft als kritisch einstuft.

In diesem Monat hat es Microsoft mit einer recht großem Anzahl vorab bekannter Schwachstellen zu tun. Gleich sechs Sicherheitslücken waren bereits vorab öffentlich bekannt. Hinzu kommt eine Lücke im Windows-Kernel, die bereits für Angriffe ausgenutzt wird. Die elf als kritisch ausgewiesenen Sicherheitslücken betreffen Windows, Visual Studio und .NET. Die übrigen 45 Lücken stuft Microsoft bis auf zwei als hohes Risiko ein. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Wie gewohnt weit übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Patch Day auf, kann jedoch Microsofts Informationsgeiz nur zum Teil kompensieren.

Browser
Weder für den Internet Explorer noch für Edge (EdgeHTML) gibt es in diesem Monat Updates. Für beide ist noch in diesem Jahr Schluss. Der alte Edge („Edge-Legacy“) könnte beim nächsten Patch Day im März noch ein letztes Update erhalten, beim Update-Dienstag im April wird er zwangsweise aus Windows entfernt . Sein Vorgänger, der Internet Explorer (IE), wird ab 17. August nicht mehr durch Microsoft-365-Dienste unterstützt, für Teams gilt das bereits seit Ende November 2020. Der IE lebt dann nur noch als IE-Modus in Edge (Chromium) weiter, damit Unternehmen Legacy-Anwendungen weiter nutzen können. Das einzige Browser-Update in diesem Monat betrifft Edge für Android, bei dem Microsoft ein Datenleck stopft, durch das auch sensible Daten abfließen könnten.

Edge (Chromium)
Für den neuen Edge (Chromium-basiert) hat Microsoft bereits in der letzter Woche zwei Sicherheits-Updates bereitgestellt. Die neueste Version 88.0.705.63 basiert auf der Chromium-Version 88.0.4324.150. Neben den Chromium-Lücken hat Microsoft auch eine Edge-eigene Schwachstelle (CVE-2021-24113) beseitigt, die es ermöglichte Sicherheitsfunktionen zu umgehen.
 
Office
In seiner Office-Familie hat Microsoft in diesem Monat 11 Schwachstellen beseitigt. Microsoft weist keine dieser Schwachstellen als kritisch aus, vielmehr sind alle als hohes Risiko eingestuft. Sechs Lücken, vier in Excel und zwei in Sharepoint, sind jedoch geeignet, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen. Microsoft weist solche Schwachstellen in aller Regel nicht als kritisch aus, da ein Benutzer ein solches Dokument zunächst öffnen muss, damit Schadcode wirken kann.

Windows
Der überwiegende Teil der Schwachstellen verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.

Microsoft stuft neun Windows-Lücken als kritisch ein. Zwei Schwachstellen stecken im Windows Fax-Dienst, der jedoch bei Bedarf erst aktiviert werden müsste. Zwei weitere betreffen den TCP/IP-Stack – die eine (CVE-2021-24074) betrifft IPv4, die andere (CVE-2021-24094) IPv6. Rechner, die als DNS-Server konfiguriert sind, könnten mittels CVE-2021-24078 zur Wurmschleuder werden, wie Dustin Childs im oben erwähnten ZDI-Blog warnt.

Auch in diesem Monat sind wieder Sicherheitslücken in Codecs zu schließen. Eine als kritisch ausgewiesene Lücke (CVE-2021-24081) betrifft die Windows Codec-Bibliothek, eine zweite (CVE-2021-24091) den Windows Camera Codec Pack. Beide Schwachstellen basieren darauf, dass Benutzerdaten (Videos, Fotos) nicht ordentlich überprüft werden. In der Folge kann der angelegte Puffer zu klein sein. Dies ermöglicht es, Code einzuschleusen und mit Benutzerrechten auszuführen. Dazu passt auch eine Lücke (CVE-2021-24093) in der Windows Grafikkomponente, die mit einem präparierten Bild in ähnlicher Weise ausgenutzt werden kann.

Unter Beschuss
Nicht als kritisch ausgewiesen, aber bereits Bestandteil realer Angriffe ist die Schwachstelle CVE-2021-1732 im Kernel (Win32k) von Windows 10 und den zugehörigen Server-Editionen. Sie eignet sich, um eingeschleustem Code Systemrechte zu verschaffen. Dazu würde sie mit einer anderen Sicherheitslücke (etwa in Excel oder Acrobat Reader) kombiniert, die zunächst nur Code-Ausführung mit Benutzerrechten erlaubt. Mit der Kernel-Lücke bekommt der Code dann Systemberechtigungen. Dies ist eine bei fortgeschrittenen Malware-Programmierern gerne benutzte Methode.

Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 14 Lücken schließen. Darunter sind sechs als kritisch ausgewiesene Schwachstellen.

Auch im Februar gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software . Der nächste turnusmäßige Patch Day ist am 9. März.


PC-WELT Marktplatz

2566833