Patchday: Zero-Day-Fix für Windows, kritische Exchange-Lücke

  • TIPP

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Patchday: Zero-Day-Fix für Windows, kritische Exchange-Lücke

    Im Oktober behebt Microsoft knapp 50 Sicherheitsprobleme. Darunter kritische Lücken in Windows-Komponenten und im Exchange Mail-Server.

    Pünktlich zum zweiten Dienstag im Monat hat Microsoft knapp 50 Sicherheitslücken in vielen seiner Software-Komponenten geschlossen. Diesmal gibt es Patches für Windows, Office, Internet Explorer, Edge, SQL Server Management Studio, den Exchange Server und mehrere Windows- und Browser-Komponenten. Teile von Azure IoT erhalten ebenfalls Updates. Ein Dutzend der Sicherheitspatches gelten als kritisch. Besonders schwer wiegt eine Rechteausweitungslücke in Windows, die bereits bei ihrer Entdeckung für Angriffe ausgenutzt wurde (ein sogenannter Zero Day).

    Zero Day in Windows wird für Angriffe missbraucht
    Die Zero-Day-Lücke (CVE-2018-8453) in der Win32k-Komponente des Grafikinterfaces GDI kann von einem Angreifer, der bereits ins System eingedrungen ist, dazu missbraucht werden, Schadcode mit Systemrechten auszuführen. Das gäbe ihm Zugriff auf alle Daten des Systems und die Möglichkeit, Benutzerkonten zu manipulieren. Informationen des AV-Herstellers Kaspersky zufolge wurde die Zero-Day-Lücke von einer Hackergruppe verwendet, um äußerst zielgerichtete Angriffe auszuführen. Kaspersky verfolgt diese APT-Gruppe unter dem Namen FruityArmor seit einigen Jahren und hatte die benannte Lücke an Microsoft gemeldet. Die Sicherheitsfirma will zeitnah einen detaillierten Bericht zu der Entdeckung vorlegen.

    Acht Jahre alte kritische Lücke in Exchange
    Die Lücke im Exchange-Server ist ebenfalls auffällig. Hierbei handelt es sich um ein Sicherheitsproblem (CVE-2010-3190), das Microsoft bereits im Jahr 2010 behoben hatte – damals allerdings nicht in Exchange. Über das Laden manipulierter DLL-Dateien kann ein Angreifer hier aus der Ferne beliebigen Schadcode ausführen. Alle Versionen des Exchange-Servers sind laut Microsoft betroffen. Exchange Server 2016 sollte auf das kumulative Update 11 aktualisiert werden. Administratoren, die eine andere Version von Exchange einsetzen, sollten laut Microsoft unbedingt ein Update für Visual Studio 2010 installieren. Dieses Vorgehen beschreiben die Entwickler im Sicherheitshinweis MS11-025.

    Liste der Updates und Verteilungsmethoden
    Windows-Anwender können die Sicherheitsupdates wie gewohnt über Microsoft Update installieren, wenn dies nicht bereits automatisch geschehen ist. Für Windows 10 verteilt Microsoft die Patches wie immer als kumulatives Update und behebt dabei auch einige nicht-sicherheitsrelevante Probleme. Inwieweit das momentan durch die Probleme mit dem 1809-Update zum Stocken kommt, ist allerdings zu diesem Zeitpunkt noch unklar. Microsoft stellt Informationen über die gepatchten Sicherheitslücken im Security Update Guide bereit. Allerdings ist die Auflistung alles andere als übersichtlich. Eine viel besser aufbereitete Liste findet sich zum Beispiel im Patchday-Blog-Artikel von HPs Zero Day Initiative.

    Quelle: Patchday: Zero-Day-Fix für Windows, kritische Exchange-Lücke |
    heise Security


  • Erneut Zero-Day-Lücke in Windows per Twitter veröffentlicht

    Sie steckt in der Funktion Microsoft Data Sharing. Ein Angreifer kann mit dem bereits verfügbaren Proof-of-Concept Systemdateien ohne Administratorrechte löschen. Betroffen sind Windows 10, Windows Server 2016 und Server 2019.

    Der Twitter-Nutzer SandboxEscaper hat erneut eine Zero-Day-Lücke in Windows öffentlich gemacht, und zwar zum zweiten Mal innerhalb von nur zwei Monaten. Auf GitHub veröffentlichte er zudem einen Proof-of-Concept, mit dem sich der Fehler nachvollziehen lässt. Damit stehen alle Details zur Verfügung, um Malware für die Schwachstelle zu entwickeln.

    Der Fehler steckt in der Funktion Microsoft Data Sharing, die als lokaler Dienst den Austausch von Daten zwischen Anwendungen ermöglicht. Nach Angaben mehrerer Sicherheitsexperten, die sich mit der Zero-Day-Lücke beschäftigt haben, kann ein Angreifer die Anfälligkeit benutzen, um seine Benutzerrechte auszuweiten. In Kombination mit einer Lücke, die eine Remotecodeausführung nur mit den Rechten des angemeldeten Benutzers erlaubt, wäre es also möglich, ein Windows-System vollständig zu kompromittieren.

    Der Beispielcode von SandboxEscaper ist in der Lage, Dateien zu löschen, für die normalerweise Administratorrechte benötigt werden. Die Experten gehen davon aus, dass sich die Schwachstelle aber auch für andere Aktion einsetzen lässt.

    Betroffen sind demnach nur aktuelle Windows-Versionen, angefangen bei allen unterstützten Versionen von Windows 10 inklusive dem Oktober-2018-Update. Außerdem sollen Windows Server 2016 und auch Server 2019 angreifbar sein. Ältere OS-Versionen sind laut Will Dormann vom US-CERT nicht betroffen, da ihnen die fehlerhafte Datei dssvc.dll fehlt.

    Auch die erste von SandboxEscaper im August öffentlich gemachte Sicherheitslücke ermöglichte eine nicht autorisierte Ausweitung von Benutzerrechten sowie das Löschen von Dateien. Laut Sicherheitsexperte Kevin Beaumont prüfte Windows in dem Fall die Berechtigungen des Nutzers nicht. Microsoft lieferte schließlich im September den benötigten Patch aus. Zuvor war es Cyberkriminellen allerdings gelungen, die Anfälligkeit für ihre Zwecke einzusetzen.

    Mitja Kolsek, CEO von Acros Security, rät zudem dringend ab, den Proof-of-Concept für die neue Zero-Day-Lücke auszuführen. Die auf GitHub erhältliche Datei deletebug.exe lösche nämlich die Systemdatei pci.sys, ohne die ein Start von Windows nicht möglich sei.

    Microsofts nächster Patchday findet am 14. November statt. Ob drei Wochen ausreichend sind, um einen Fix für die Schwachstelle zu entwickeln, bleibt abzuwarten.

    Quelle: Erneut Zero-Day-Lücke in Windows per Twitter veröffentlicht | ZDNet.de