Am Patchday im Juli hat Microsoft Sicherheitsupdates für mehr als 120 Schwachstellen veröffentlicht. Betroffen sind beispielsweise Azure DevOps, Edge, OneDrive und verschiedene Windows-Versionen.
Wurmartige Ausbreitung
Als besonders gefährlich gilt eine Lücke (CVE-2020-1350) im Domain Name System (DNS) von Windows Server. Die betroffenen Ausgaben listet Microsoft in einer Warnmeldung auf. Admins, die Windows-DNS-Server verwalten, sollten diese zügig auf den aktuellen Stand bringen.
Andernfalls könnten entfernte Angreifer ohne Authentifizierung durch das alleinige Versenden von präparierten Anfragen Server vollständig kompromittieren. Die Schwachstelle gilt als "kritisch" und ist mit dem höchstmöglichen CVSS V3 Score 10 von 10 versehen. Steht ein Server unter der Kontrolle eines Angreifers, könnte sich Malware von dort aus wurmartig weiterverbreiten.
Technische Details zur SIGRed getauften Lücke haben Sicherheitsforscher von Check Point in einer Meldung zusammengetragen.
Weitere kritische Lücken
Ebenfalls als kritisch gilt eine Schwachstelle (CVE-2020-1025) in SharePoint Server und Skype for Business Server. Hier könnte ein Angreifer über einen modifizierten OAuth Token die Authentifizierung umgehen und unrechtmäßig auf Systeme zugreifen.
Microsoft Outlook kann sich an einer präparierten E-Mail verschlucken. Dabei soll es ausreichen, wenn Outlook die Mail im Vorschaufenster anzeigt. Kommt es so weit, könnte ein Angreifer Schadcode ausführen.
Unter Windows kümmert sich Microsoft vor allem um Schwachstellen in der Virtualisierungstechnik Hyper-V. Hier könnten Angreifer an mehreren kritischen Lücken ansetzen, um aus einer VM auszubrechen und eigene Befehle im Host-System auszuführen. Dafür muss ein Angreifer aber die Möglichkeit hab, im Guest-System eine spezielle Applikation laufen zu lassen.
Auch das Windows-Adressbuch ist für Remote-Code-Execution-Attacken anfällig. Dafür reicht die Verarbeitung einer manipulierten vcard-Datei aus.
Wichtige Patches
Durch das Ausnutzen von weiteren als "wichtig" eingestuften Schwachstellen in unter anderem Windows AppX und Windows Credential Picker könnten sich Angreifer höhere Nutzerrechte aneignen oder Informationen leaken.
In Microsofts Security Update Guide findet man weitere Infos zu den Lücken und abgesicherten Versionen. Standardmäßig ist Windows Update so konfiguriert, dass das System Sicherheitspatches automatisch installiert.
Quelle: Patchday: Trojaner könnte von einem zum nächsten Windows-DNS-Server springen | heise online
Update 17.07.2020
CISA warnt: Update gegen kritische Windows Server-Lücke SIGRed zügig anwenden
Admins sollten das Update gegen CVE-2020-1350 vom MS-Patchday so bald wie möglich einspielen. Die US-Behörde CISA warnt vor der Gefahr.
Die US-Behörde für Cybersicherheit CISA hat am gestrigen Dienstag eine Notfallrichtlinie (Emergency Directive) veröffentlicht, in der sie sämtliche US-Bundesbehörden dazu anhält, innerhalb von 24 Stunden Schutzmaßnahmen gegen die kritische Sicherheitslücke SIGRed/CVE-2020-1350 zu treffen.
Microsoft hat im Rahmen des Patchdays am vergangenen Dienstag Sicherheitsupdates gegen die Lücke veröffentlicht, die via Windows Update und Co. ausgeliefert wurden, je nach Konfiguration aber auch manuell installiert werden müssen.
Die Lücke müsse sehr ernst genommen werden, schreibt die CISA in ihrem Blogeintrag zur EMERGENCY DIRECTIVE (ED 20-03). Zwar habe man bislang noch keine aktiven Exploits beobachtet; es sei aber wohl nur eine Frage der Zeit, bis Exploit-Code vorliege.
In einem Tweet empfiehlt die CISA auch privaten Unternehmen, rasch zu handeln. Ein Ratschlag, den Admins in Unternehmen angesichts des hohen Gefahrenpotenzials auch hierzulande beherzigen sollten. Angreifbar sind (versionsabhängig) Windows Server, die als DNS-Server konfiguriert sind.
Absicherung in zwei Stufen
Die US-Behörden, so heißt es in CISAs Emergency Directive zu CVE-2020-1350, sollten im ersten Schritt alle als DNS-Server konfigurierten Windows Server entweder mit dem zum Patchday veröffentlichten Update oder temporär mit einem manuellen, von Microsoft empfohlenen Workaround in Gestalt einer Registry-Anpassung schützen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
DWORD = TcpReceivePacketSize
Value = 0xFF00
Bis spätestens zum 24. Juli sollen sie das Update dann auch auf die übrigen Systeme anwenden, auf denen Windows Server läuft. Der Registry-Workaround sollte dann möglichst wieder entfernt und durch die Aktualisierung ersetzt werden.
Weitere Informationen zu Lücke und Updates
SIGRed steckt in Windows DNS Server, Microsofts Implementation des Domain Name System (DNS), und betrifft mehrere Windows Server-Versionen. Der Sicherheitslücke wurde der höchstmögliche CVSS-Score 10.0 ("Critical") zugewiesen. Sie könnte von entfernten Angreifern ohne Authentifizierung mittels präparierter Anfragen missbraucht werden, um beliebigen Code auf dem Server auszuführen und ihn letztlich vollständig zu kompromittieren.
Die Wahrscheinlichkeit eines Exploits schätzt auch Microsoft selbst als recht hoch ein ("Exploitation more likely"). Die Lücke sei außerdem "wormable"; eingeschleuste Malware könnte sich also (auch ohne Nutzerinteraktion) wurmartig im Netzwerk weiterverbreiten.
Weitere Informationen zur Lücke , eine Übersicht über die betroffenen Server-Ausgaben, Infos zum temporären Workaround sowie Links zu weiterführenden Supportartikeln sind Microsofts Security Advisory zu entnehmen:
- CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability
Update 22.07.2020
Jetzt updaten: Exploit-Code für Patchday-Lücke in SharePoint Server verfügbar
Gegen eine kritische Lücke in SharePoint Server, Visual Studio und dem .NET Framework gibt es seit dem MS-Patchday Updates. Die Gefahr eines Angriffs steigt.
In der vergangenen Woche warnte die US-Behörde für Cybersicherheit CISA vor der kritischen Sicherheitslücke SIGRed/CVE-2020-1350 im Windows Server-Betriebssystem: Admins, so die CISA, sollten die von Microsoft zum Patchday veröffentlichten Updates zügig einspielen. Nun weisen Sicherheitsforscher auf eine mindestens ebenso große Gefahr hin, die von einer Sicherheitslücke in mehreren Versionen von SharePoint Server, Visual Studio und dem .NET Framework ausgeht.
Auch gegen diese mit der CVE-Kennung CVE-2020-1147 versehene Lücke gibt es seit Microsofts Patch Tuesday Updates, und auch sie gilt als kritisch. Angreifer könnten sie unter bestimmten Voraussetzungen aus der Ferne missbrauchen, um beliebigen Code auf verwundbaren Systemen auszuführen. Dass seit kurzem ein detaillierter Proof-of-Concept im Internet verfügbar ist, erhöht noch einmal die Dringlichkeit des Aktualisierens.
Details zu betroffenen SharePoint Server-, Visual Studio- und .NET Framework-Versionen nebst Update-Hinweisen nennt das Security Advisory von Microsoft zu CVE-2020-1147 vom 14. Juli.
Betroffene Versionen, Updates und PoC
CVE-2020-1147 basiert auf unzureichenden Validierungsmechanismen des Quell-Markups von XML-Inhalten. Mittels entsprechend präparierter Dokumente hätte ein entfernter Angreifer den für die XML-Deserialisierung verantwortlichen Prozess zur Ausführung beliebigen Codes bewegen können. Microsoft selbst schätzte die Exploit-Wahrscheinlichkeit bereits zum Patchday als recht hoch ein ("Exploitation more likely").
Einen ausführlichen Artikel zu den Sicherheitslücken-Details nebst Proof-of-Concept-Code hat Forscher Steven Seeley in seinem Blog veröffentlicht.
Quelle: Jetzt updaten: Exploit-Code für Patchday-Lücke in SharePoint Server verfügbar | heise online