Zum Patchday im August hat Microsoft insgesamt 120 Sicherheitslücken beseitigt – unter anderem aus verschiedenen Windows-Versionen, aus den Browsern Edge und Internet Explorer, aus der Microsoft Scripting Engine, dem .NET Framework, der Codecs Library sowie verschiedenen Office-Produkten. 17 der Lücken werden als "kritisch" eingestuft; fünf von ihnen entfallen auf die Multimedia-Plattform in Windows (Microsoft Media Foundation). Zwei der kritischen Lücken werden bereits aktiv für Angriffe missbraucht. Nutzer sollten ihre Systeme möglichst zeitnah auf den neuesten Stand bringen.
Remote Code Execution und Spoofing
Vor aktiven Angriffen auf die Sicherheitslücken CVE-2020-1380 in der Scripting Engine (in Verbindung mit dem Internet Explorer) und CVE-2020-1464 in verschiedenen Windows-Versionen warnt unter anderem die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) in einem aktuellen Advisory.
CVE-2020-1380 basiert auf Speicherfehlern, die Angreifer aus der Ferne ausnutzen könnten. Microsofts Advisory zu CVE-2020-1380 beschreibt ein webbasiertes Angrifsszenario, bei dem ein Angreifer eine speziell präparierte Dateien oder Inhalte auf einer Website hostet. Die Falle schnappt zu, sofern ein Nutzer dazu gebracht werden kann, die Seite mit dem Internet Explorer anzusurfen. Mögliche Konsequenz: Der Angreifer könnte dieselben Rechte erlangen wie der angemeldete Nutzer, aus der Ferne beliebigen Code mit den entsprechenden Rechten ausführen und, sofern es sich um Admin-Rechte handelt, das System komplett übernehmen.
CVE-2020-1464 ist eine lokal ausnutzbare Spoofing-Schwachstelle in Windows, über die ein Angreifer die Dateisignaturverifizierung aushebeln und auf diesem Wege falsch signierte, potenziell schädliche Dateien laden kann. Details zu den betroffenen Versionen nennt Microsofts Security Advisory zu CVE-2020-1464.
Über das Ausmaß der aktiven Angriffe ist in beiden Fällen nichts bekannt.
Kritische RCE-Lücken
Bei den übrigen kritischen, bislang nicht attackierten Sicherheitslücken handelt es sich durchweg um Möglichkeiten zur Remote Code Execution.
- Media Foundation: CVE-2020-1525, CVE-2020-1379, CVE-2020-1477, CVE-2020-1492, CVE-2020-1554
- Windows Codecs: CVE-2020-1560, CVE-2020-1574, CVE-2020-1585
- Scripting Engine: CVE-2020-1555, CVE-2020-1570
- Edge PDF Reader: CVE-2020-1568
- Microsoft Outlook: CVE-2020-1483
- MSHTML Engine: CVE-2020-1567
- NetLogon: CVE-2020-1472
- Windows Media: CVE-2020-1339
Im Rahmen eines Vortrags auf der Black Hat Konferenz 2020 hatte ein Forscherteam vergangene Woche vor der Neuauflage einer Sicherheitslücke gewarnt, die der Computerwurm Stuxnet früher missbrauchte, um von Windows-Systemen über den Umweg des Druckerspoolers auf industrielle Steuerungsanlagen überzuspringen. Der Lücke (CVE-2020-1337, Windows Print Spooler Elevation of Privilege Vulnerability), die frühere Vorkehrungen gegen das Sicherheitsproblem aushebelt, hat Microsoft die Risikoeinstufung "Important" zugewiesen. Sie wurde im Zuge des Patchday nun ebenfalls beseitigt.
Einen Überblick über sämtliche Patchday-Updates liefert Microsofts Security Update Guide, in dem sämtliche Security Advisories verlinkt sind. Eine kompaktere übersichtlichere Auflistung samt tabellarischer Übersicht liefert ein Blogeintrag der Zero Day Initiative zum August-Patchday.
Quelle: Patchday: Microsoft schließt aktiv ausgenutzte Windows- und Browser-Lücken | heise online
Update 26.08.2020:
[b]Riesen-Probleme nach August-Patchday: So kriegen Sie Ihr System wieder flott
Nutzer von Windows 10 kennen das Spiel schon: Jeden Monat steht der Patchday an und Microsoft liefert zahlreiche Sicherheitsupdates für alle Versionen des Betriebssystems. Mit den August-Updates schließt Microsoft zwar endlich eine Sicherheitslücke, die dem Unternehmen bereits seit zwei Jahren bekannt ist, verursacht aber bei einigen Nutzern massive Probleme bis hin zu Bluescreens. Glücklicherweise gibt es eine Lösung.
Es ist eine bekannte Routine: Am zweiten Dienstag im Monat ist Stichtag für Windows 10. Jeden Monat veröffentlicht Microsoft Updates - damit werden Lücken und Bugs in allen unterstützten Versionen von Windows 10 und Windows 8 behoben. Seit dem offiziellen Support-Ende im Januar erhält Windows 7 keine Updates mehr, Nutzer sollten schnellstmöglich auf Windows 10 umsteigen.
Die monatlichen Patches liefern zwar keine neuen Funktionen, sind aber dennoch von größter Wichtigkeit, weil Microsoft damit jede Menge bekannter und neu entdeckter Sicherheitslücken behebt. Außerdem werden mit den Updates Bugs behoben und Fehler ausgebügelt. So wurde mit dem August-Patchday die zwei Jahre alte Sicherheitslücke GlueBall geschlossen.
Bei CHIP finden Sie sämtliche kumulativen Updates für Ihre Version von Windows 10 zum Download. Diese Updates enthalten alle Sicherheitsfixes inklusive derer aus dem August-Patchday.
Sicherheitslücke GlueBall: Warum Microsoft sie erst nach zwei Jahren schließt
Die Schwachstelle sorgte dafür, dass Dateisignaturen fälschlicherweise validiert wurden. Angreifer konnten diese Lücke ausnutzen, um damit Sicherheitsfunktionen zu umgehen. Microsoft veröffentlichte zwar Patches in unterstützenden Tools, ließ vom Kern des Problems im Betriebssystem selbst aber die Finger.
Jetzt rudert der Konzern zurück und fixt die Schwachstelle mit dem August-Patchday nun doch vollständig. Warum Microsoft die Zero-Day-Sicherheitslücke zwei Jahre lang nahezu ignorierte, ist unklar. Im Januar letzten Jahres wurden sogar einige Blog-Posts veröffentlicht, die zeigen, wie man die Sicherheitslücke ausnutzt. Im Juni dieses Jahres sorgte der Fehler in den sozialen Medien wieder für Aufsehen, sodass Microsoft sich wohl gezwungen sah, die Lücke nun endgültig im Betriebssystem zu beheben.
Patchday macht Probleme
Wie bei jedem Patchday klagen Nutzer über Probleme nach Einspielen des Updates. Wichtig ist hier: Die meisten Nutzer kommen völlig ohne Schwierigkeiten durch die Updates, aber das hilft den Betroffenen wenig. Die beschriebenen Schwierigkeiten sind reichhaltig, es geht los mit Hängern bei der Installation und setzt sich danach fort mit Performance-Einbrüchen, schlechterer Gaming-Leistung, unbrauchbaren Web-Cams bis hin zu Bluescreens.
Sicherheits-Updates bei Windows 10: Der aktuelle Stand
Wer es genau wissen will: Den aktuellen Stand der Windows 10 Updates können Sie in der Windows Update History verfolgen. Für Details klicken Sie links in der Auswahl Ihre Windows-Version an, etwa 1903, und informieren sich unter dem Punkt "In this release" über die Patchday-Details.
Der einfachste Weg zu den Updates führt über die Einstellungen und den Punkt "Update und Sicherheit". Steuern Sie dort den Eintrag "Windows Update" an und klicken Sie auf "Nach Updates suchen". Kumulative Updates haben die bequeme Eigenschaft, dass sie alle Fixes für eine Windows-Version vereinen, egal wie deren genauer Stand ist. Wenn Sie also einen oder mehrere Patchdays übersehen haben, müssen Sie die Updates nicht nachinstallieren, sondern können Ihr System in einem Rutsch aktualisieren. Wenn Sie sich nicht sicher sind, welche Windows-Version Sie nutzen, tippen Sie "winver" in die Suche ein und lassen den Befehl ausführen.
Update-Installation schlägt fehl? Workaround versuchen
So nützlich der Patchday auch ist, Windows-Updates verlaufen nicht immer problemlos. Kumulative Updates lassen sich bei manchen Nutzern nicht installieren, stattdessen erscheint lediglich ein Fehlercode.
Es kam auch in den letzten Patchdays immer mal wieder vor, dass Updates sich nicht installieren lassen. Windows reagiert dann mit einer lapidaren Meldung, dass es zu Problemen gekommen sei und das Update nicht installiert werden konnte. Dazu gibt es noch kryptische Fehlermeldungen mit Error-Codes 0x80073701 oder 0x800f0988. Hier hat Microsoft einen Workaround parat, was man machen kann, wenn dieses Problem wiederholt auftritt.
Dazu müssen Sie eine neue Kommandozeile als Administrator öffnen und dort folgenden Befehl ausführen: dism /online /cleanup-image /startcomponentcleanup. Lassen Sie Windows einen Moment arbeiten und wenn der Befehl erfolgreich ausgeführt wurde, starten Sie Ihr System neu. Jetzt können Sie noch einmal versuchen, die Updates einzuspielen.
Update-Probleme beheben
Es kommt nicht nur manchmal vor, sondern immer: Updates verursachen auf manchen Systemen Probleme. Die können ganz unterschiedlicher Natur sein. Generell gilt: Sollte ein Update Ihr System merklich schlechter machen, können Sie es wieder entfernen. Leider ist das von Microsoft unübersichtlich gelöst. Sie müssen in den Einstellungen zu "Windows Update" navigieren und auf "Updateverlauf anzeigen" klicken. Ganz oben finden Sie die Option "Updates deinstallieren". In der anschließend angezeigten Liste müssen Sie nach der entsprechenden Nummer des Updates suchen und mit einem Rechtsklick die Option "Deinstallieren" auswählen. Damit werden Sie die Probleme, die das Update verursacht hat, wieder los. Leider gehen damit aber auch die Bugfixes und Sicherheits-Patches flöten.
Quelle: Bluescreen nach Windows 10 August-Patchday - CHIP