Microsoft hat im Januar 25 Sicherheitslücken gestopft

Zum Auftakt das Jahres 2020 hat Microsoft 49 Sicherheitslücken in Windows, dem Internet Explorer, Office samt Office Services und Web Apps, dem .NET-Framework, .NET Core, ASP.NET Core, Microsoft Dynamics und OneDrive für Android geschlossen. Acht der Schwachstellen gelten als kritisch. Die restlichen sind laut Microsoft hochgefährlich, doch eine dieser Lücken hat es wirklich in sich - sie wurde von der NSA gemeldet! Zudem werden Windows 7 und Windows Server 2008/2008 R2 heute zum letzten mal mit kostenlosen Sicherheitsflicken versorgt.

Wer heutzutage erfahren will, welche Sicherheitslücken Microsoft beseitigt hat, muss bei Talos, den Sicherheitsspezialisten von Cisco Systems, vorbeischauen. Microsofts eigener Security Update Guide liefert nämlich auch weiterhin eine völlig unübersichtliche Auflistung und taugt nur zur gezielten Suche nach Informationen über spezielle Updates oder Produkte. Es ist nicht einmal möglich, jene Sicherheitslücken, welche bereits aktiv angegriffen werden, herauszufiltern.

CVE-2020-0601 hebelt Signatur-Prüfung aus
Noch bevor wir zu den kritischen Fehlern kommen, werfen wir einen Blick auf CVE-2020-0601. Microsoft bewertet diese Schwachstelle zwar nur als hochgefährlich, erwartet aber baldige Angriffe, denn CVE-2020-0601 erlaubt es Bösewichten, ihren Schadcode mit einer scheinbar gültigen Signatur zu versehen. Das Problem steckt in der Art und Weise, wie die CryptoAPI (Crypt32.dll) die bei den Zertifikaten eingesetzte Kryptographie mit elliptischen Kurven (ECC) validiert. Bisher funktionierte diese Prüfung nicht zuverlässig, so dass zuweilen gefälschte Zertifikate durchgewunken worden und das hebelt ein zentrales Sicherheitsmerkmal von Windows aus. Betroffen sind neben Windows 10 auch die Server von 2016 bis 2019 inklusive der Core-Installationen.

Interessanterweise wurde dieses gravierende Problem vom US-Geheimdienst "National Security Agency" (NSA) entdeckt. Und ungewöhnlicherweise hat die NSA die Lücke bei Microsoft gemeldet, statt sie für eigene Zwecke unter Verschluss zu halten, wie die Danksagung zu CVE-2020-0601 belegt. Microsoft hat CVE-2020-0601 einen eigenen Blog-Betrag gewidmet und auch die NSA hat eine gesonderte Sicherheitswarnung ausgegeben. Schon gestern hatte der bekannte IT-Sicherheitsexperte Brian Krebs von einer Sicherheitslücke in Windows berichtet, welche Microsoft beim US-Militär und anderen hochrangigen Zielen vorab beheben ließ. Inzwischen steht fest, dass es sich dabei um CVE-2020-0601 gehandelt hatte.

Die kritischen Lücken
Kommen wir nun zu den acht kritischen Problemen, um die sich Microsoft an diesen Dienstag gekümmert hat: CVE-2020-0605 und CVE-2020-0606 nutzen eine unzureichende Prüfung des Quell-Markup durch das .NET-Framework, um Schadcode mit den Rechten des angemeldeten Benutzers auszuführen. Dies funktioniert allerdings nur, wenn der Benutzer eine derart präparierte Datei öffnet. Gleiches gilt zum Ausnutzen eines Speicherfehlers in ASP.NET Core (CVE-2020-0603). Weiterhin patzt das .NET-Framework hinsichtlich einiger seiner Methoden bei der Prüfung von Nutzereingaben (CVE-2020-0646), wodurch sich Schadcode injizieren lässt. Bisher wird keiner der vier Fehler ausgenutzt und Microsoft hält entsprechende Angriffe auch für weniger wahrscheinlich.

Wenn ein Angreifer Kontrolle über einen Server erlangt, kann er die damit verbundenen Rechner über eine Sicherheitslücke im "Remote Desktop Client" übernehmen (CVE-2020-0611). Betroffen sind alle Windows-Versionen von 7 bis 10 inklusive der entsprechenden Server. Schwerwiegender sind allerdings zwei Fehler (CVE-2020-0609 und CVE-2020-0610) im "Remote Desktop Gateway" der Server 2012 bis 2019, da sich diese von außen ohne vorherige Authentifizierung ausnutzen lassen. Microsoft erwartet schon bald erste Angriffe in Form speziell gestalteter RDP-Anfragen. Bleibt noch ein Speicherfehler im Internet Explorer der Versionen 9 bis 11 (CVE-2020-0640), durch den bösartige Webseiten Schadcode auf dem lokalen PC ausführen können.