Microsoft hat im März 82 Schwachstellen gestopft

Meldung von doelf, Dienstag der 09.03.2021, 23:26:36 Uhr

logo

Microsoft hat im März 82 Sicherheitslücken in ActiveX, der Anwendungsvirtualisierung, Azure inklusive DevOps und Sphere, dem Internet Explorer und Edge, dem Exchange Server, der Graphics-Komponente, Office, Power BI, den Rollen (DNS-Server und Hyper-V), Visual Studio nebst Code sowie Windows geschlossen. Zehn der 82 Sicherheitslücken sind kritischer Natur, die restlichen Schwachstellen bergen allesamt eine hohe Gefahr. Die vier 0-Day-Lücken im Exchange-Server sind darin nicht enthalten, dafür aber eine weitere 0-Day-Lücke im Internet Explorer 11 und Edge (CVE-2021-26411).

Bei den verwundbaren Windows-Komponenten handelt es sich um Admin Center, Benutzerprofildienst, Container Execution Agent, DirectX, Druckerspooler, Ereignisablaufverfolgung, Extensible Firmware Interface (EFI), Fehlerberichterstattung, Filtertreiber für projizierte Dateisysteme, Installer, Media, Medienbibliothek, Ordnerumleitung, Registrierung, Remotezugriffs-API, Speicherplatz-Controller, Überlagerungsfilter, Updateassistent, Update Stack, UPnP Gerätehost, WalletService und Win32K. Seitens Office wurde Sicherheitslücken in Excel, PowerPoint, SharePoint und Visio abgesichert.

Kommen wir nun zu den zehn kritischen Fehlern, die sich allesamt zum Einschleusen von Schadcode eignen. Wie eingangs erwähnt, ist hierbei CVE-2021-26411, eine 0-Day-Lücke im Internet Explorer 11 und Edge (EdgeHTML), hervorzuheben:

  • CVE-2021-26411: Diese Speichermanipulation betrifft sowohl den Internet Explorer 11 als auch die EdgeHTML-Variante von Edge. Der unkomplizierte Angriff erfolgt ohne Berechtigungen über das Netzwerk, erfordert aber eine Interaktion des Benutzers. Es handelt sich um eine 0-Day-Lücke, die bereits angegriffen wird und zudem öffentlich dokumentiert wurde.
  • CVE-2021-21300: Diese Remote-Code-Ausführung in Git für Visual Studio lässt sich aus der Ferne angreifen, ist von geringer Komplexität und erfordert keine Berechtigungen, dafür aber eine Interaktion des Benutzers. Bisher wurde die Schwachstelle nicht öffentlich dokumentiert und auch zukünftige Angriffe gelten als unwahrscheinlich. Betroffen sind Visual Studio 2017 Version 15.0 bis 15.9 und Visual Studio 2019 Version 16.0 bis 16.9.
  • CVE-2021-24089, CVE-2021-26902 und CVE-2021-27061: Drei Remote-Code-Ausführungen stecken in der HEVC-Videoerweiterung. Die Angriffskomplexität ist niedrig und es sind keine Berechtigungen erforderlich, doch der Angreifer benötigt einen lokalen Zugriff und es kommt zu einer Benutzerinteraktion. Bisher wurden die Fehler weder öffentlich gemacht noch angegriffen und dabei wird es wohl auch bleiben.
  • CVE-2021-26867: Eine Remote-Code-Ausführung in Hyper-V bedroht Windows 10 in den Versionen 1909, 2004 und 20H2 sowie die entsprechenden Server-Ausgaben. Die Attacke erfolgt über das Netzwerk ohne Berechtigungen oder Benutzerinteraktionen. Sie stellt keine große Herausforderung dar, wurde bisher aber nicht öffentlich dokumentiert oder angegriffen. In Redmond hält man auch zukünftige Angriffe für unwahrscheinlich.
  • CVE-2021-26876: Auch OpenType-Schriftarten ermöglichen Remote-Code-Angriffe über das Netzwerk. Die Schwierigkeit ist gering und es sind keine Berechtigungen erforderlich, doch es kommt zu einer Benutzerinteraktion. Bisher wurde diese Schwachstelle weder öffentlich dokumentiert noch angegriffen - und dabei soll es auch bleiben. Der Fehler steckt in Windows 10 Version 1803 bis 20H2 sowie den entsprechenden Server-Ausgaben.
  • CVE-2021-26897: Eine Remote-Code-Ausführung über den DNS-Server von Windows Server 2012 bis 2019 und 20H2 gilt bei Microsoft als wahrscheinliches Angriffsziel. Bisher wurde der Bug weder öffentlich dokumentiert noch attackiert, doch der Angriff ist simpel, erfordert keine Berechtigungen und auch keine Benutzerinteraktion, was diesen Fehler überaus attraktiv macht.
  • CVE-2021-27074 und CVE-2021-27080: Diese beiden Sicherheitsanfälligkeiten ermöglichen die Ausführung von unsigniertem Code in Azure Sphere. Ein Angreifer benötigt lediglich lokalen Zugang, der Schwierigkeitsgrad ist dann gering und weitere Hürden gibt es nicht. Dennoch hält Microsoft Angriffe für unwahrscheinlich, zumal das Problem nicht öffentlich dokumentiert wurde.

Unter den 72 hochgefährlichen Fehlern finden sich 30 Rechteausweitungen, 28 Code-Ausführungen sowie sechs Datenlecks. Dazu kommen drei Möglichkeiten zum Umgehen von Sicherheitsmaßnahmen, vier Schwachstellen zum Blockieren von Diensten (Denial of Service) und eine Täuschung (Spoofing).

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]