Am Patchday im Mai macht Microsoft etwas außergewöhnliches und veröffentlicht Sicherheitsupdates für die eigentliche ausgelaufen Produkte Windows XP und Server 2003. Der Grund dafür ist eine als "kritisch" eingestufte Sicherheitslücke (CVE-2019-0708) in der Fernwartungsfunktion Remote Desktop Services (RDP). Windows 8.1 und 10 sind davon nicht betroffen.
Angreifer sollen die Lücke aus der Ferne und ohne Authentifizierung ausnutzen können. Dafür muss sie lediglich präparierte RDP-Anfragen an einen verwundbaren Computer senden. Für eine erfolgreiche Attacke ist ein Mitwirken des Opfers nicht notwendig. Klappt alles, kann sich Malware von anvisierten Computer wurmartig weiterverbreiten und ganze Netzwerke infizieren. Davor warnt Microsoft in einer Sicherheitsmeldung.
Bedrohte Windows-Version
Auch wenn es Microsoft zufolge derzeit noch keine Attacken gibt, sollten Admins den Patch dringend installieren. Es ist davon auszugehen, dass Angreifer die Lücke zeitnah ins Visier nehmen. In einem Beitrag zur Lücke findet man die bedrohten noch unterstützten Windows-Versionen. Im Supportbereich listet Microsoft die nicht mehr unterstützten Ausgaben auf, für die es Sicherheitspatches gibt
Weitere kritische Lücken
Der Großteil der weiteren kritischen Schwachstellen finden sich in der Chakra Scripting Engine. Diese verwaltet für den Browser Edge Objekte im Speicher. Der alleinige Besuch einer präparierten Website soll einen Übergriff einleiten können. Am Ende könnten Angreifer Schadcode mit Rechten des Nutzers auf Systemen ausführen. Ist ein Opfer zum Zeitpunkt der Attacke Admin, gilt der Computer als kompromittiert.
Eine weitere gefährliche Sicherheitslücke (CVE-2019-0953) bedroht verschiedene Word-Versionen. Öffnet ein Opfer ein von einem Angreifer manipuliertes Word-Dokument, könnte aufgrund von Fehlern in der Speicherverwaltung der Office-Software Schadcode auf Computern landen.
Der DHCP-Server von Windows ist ebenfalls über eine als kritisch eingestufte Sicherheitslücke (CVE-2019-0725) angreifbar. Spezielle Pakete könnten einen Speicherfehler auslösen, was wiederum zur Ausführung von Schadcode führt.
Außerdem bekommen Microsofts Webbrowser noch ein Update für den Flash Player serviert, das eine kritische Schwachstelle schließt.
Noch mehr Patches
Die weiteren Sicherheitsupdates sind als "wichtig" gekennzeichnet. Sie bedrohen zum Beispiel .NET Framework, Jet Database Engine und SharePoint Server
In seinem Security Update Guide listet Microsoft weitere Infos zu den Sicherheitslücken und Patches auf. Das ist aber nicht wirklich übersichtlich. Beispielsweise im Blog von Trend Micros Zero Day Initiative bekommt man einen besseren Überblick.
Quelle: Patchday für Windows: Kritische Lücke in Fernwartungsfunktion | heise online
Update:
Diesmal erhalten auch Server 2003 ein Sicherheits-Update.
Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von mad.de () aus folgendem Grund: Nachtrag