2631685

Patch Day: Microsoft stopft Malware-Schlupfloch in Windows

15.12.2021 | 09:15 Uhr | Frank Ziemann

Beim Update-Dienstag im Dezember hat Microsoft insgesamt 67 Sicherheitslücken geschlossen. Darunter sind sieben Schwachstellen, die Microsoft als kritisch einstuft und sechs 0-Day-Lücken.

Beim letzten Patch Day dieses Jahres erhöht Microsoft die Gesamtzahl der 2021 geschlossenen Sicherheitslücken auf 887, Edge (Chromium) nicht mitgerechnet. Das sind fast ein Drittel mehr als 2020. Von den (ohne Edge) 67 am 14. Dezember behobenen Schwachstellen stuft Microsoft sieben als kritisch ein, den Rest als hohes Risiko. Kritische Lücken betreffen unter anderem Windows, Visual Studio und Microsoft Office. Fünf Schwachstellen waren vorab öffentlich bekannt, eine sechste Lücke (CVE-2021-43890) wird zudem bereits ausgenutzt. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdate s. Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf.

Browser
Das jüngste Sicherheits-Update für Edge (Chromium) ist die Version 96.0.1054.57, deren Bereitstellung eher zufällig auf den Patch Day fällt. Sie basiert auf Chromium 96.0.4664.110 und beseitigt fünf Sicherheitslücken, darunter eine 0-Day-Lücke. Edge ist damit auf dem gleichen Stand wie Chrome, in dem Google am 13. Dezember die 0-Day-Lücke CVE-2021-4102 geschlossen hat.

Office
In seiner Office-Familie hat Microsoft in diesem Monat neun Schwachstellen beseitigt. Microsoft stuft keine der Lücken als kritisch ein, sondern weist alle als hohes Risiko aus. Vier Lücken sind geeignet, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen. Zwei dieser Schwachstellen betreffen Sharepoint, eine steckt in Excel (CVE-2021-43256). Bei den neun Lücken ist eine als kritisch eingestufte Schwachstelle (CVE-2021-43905) in der Office App noch nicht mitgerechnet. Der Microsoft Store spielt das zugehörige Sicherheits-Update in der Regel automatisch ein.

Windows
Die Mehrzahl der Schwachstellen, in diesem Monat 38, verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen. Microsoft stuft drei Windows-Schwachstellen als kritisch ein.

Die einzige der im Dezember gestopften Windows-Lücken, die bereits für Angriffe ausgenutzt wird, ist CVE-2021-43890 im Windows AppX Installer. Microsoft stuft sie zwar nur als hohes Risiko ein, weiß jedoch, dass die Malware-Familie Emotet/Trickbot diese Schwachstelle ausnutzt. Das typische Angriffsszenario beginnt mit einer Mail und einem schädlichen Dateianhang. Wird dieser geöffnet, kann schädlicher Code mit Benutzerrechten ausgeführt werden. Um den Schaden zu vergrößern, werden die Angreifer eine zweite Schwachstelle nutzen, die dem Schadcode Admin-Rechte verschafft. Damit gehört der Rechner den Tätern. Sie werden weitere Malware laden, Dateien verschlüsseln, wenn vorhanden das Netzwerk infiltrieren und schließlich ihre Erpresserbotschaft auf den Bildschirm bringen.

Als kritisch stuft Microsoft je eine Schwachstelle im iSNS-Server (CVE-2021-43215), im Remote Desktop Client (CVE-2021-43233) sowie im Encrypting File System (EFS; CVE-2021-43217) ein. Erstere betrifft Netzwerkspeicher (SAN) mit iSCSI-Geräten, die sich wohl eher in Unternehmen finden dürften.

Microsoft Defender für IoT
Das Internet of Things (IoT) ist ein Sammelbegriff für allerlei smarte Gerätschaften, vom Heizungsthermostaten bis zum Kühlschrank. Deren Sicherheit steht meist weit unten in der Prioritätenliste, wenn überhaupt. Doch auch für diese heterogene Geräteklasse hat Microsoft ein Anti-Malware-Tool namens „Microsoft Defender für IoT“, einen auf Azure basierenden Cloud-Sicherheitsdienst. Darin schließt der Hersteller in diesem Monat zehn Sicherheitslücken, von denen eine (CVE-2021-42310) als kritisch gilt. Auch hier sorgen automatische Updates für Abhilfe, sofern sie aktiviert sind.

Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 19 Lücken schließen. Darunter sind auch die drei oben genannten kritischen Windows-Lücken.

Auch im Dezember gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software . Der nächste turnusmäßige Update-Dienstag ist am 11. Januar 2022.


PC-WELT Marktplatz

2631685