Microsoft hat im Januar 85 Schwachstellen gestopft

Microsoft hat im Januar 85 Sicherheitslücken in Windows nebst Medienbibliothek, Office samt Office Services und Web Apps, Edge (EdgeHTML), Azure, ASP .NET, .NET Core, dem .NET Repository und Visual Studio sowie dem SQL-Server und der Microsoft Malware Protection Engine geschlossen. Ausgerechnet eine kritische Schwachstelle im Virenschutz (CVE-2021-1647) wird bereits angegriffen. Die dabei zu überwindenden Hürden bezeichnet Microsoft als niedrig.

Zehn der 85 Sicherheitslücken sind kritischer Natur, die restlichen 75 bergen allesamt eine hohe Gefahr. Unter den hochgefährlichen Fehlern finden sich 35 Rechteausweitungen, 14 Code-Ausführungen und elf Datenlecks. Dazu kommen sieben Möglichkeiten zum Umgehen von Sicherheitsmaßnahmen, vier Schwachstellen zum blockieren von Diensten (Denial of Service), drei Täuschungen (Spoofing) und ein Fall von Manipulation (Tampering).

Kommen wir nun zu den zehn kritischen Fehlern:

• CVE-2021-1643: Eine kritische Sicherheitslücke in der HEVC-Videoerweiterung ermöglicht das Einschleusen von Schadcode. Für den Angriff ist ein lokaler Zugriff erforderlich, besondere Berechtigungen werden nicht benötigt und die Ausnutzung des Fehlers ist trivial. Bisher wurde diese Schwachstelle weder öffentlich gemacht noch angegriffen. Auch für die Zukunft erwartet man in Redmond keine Attacken.
• CVE-2021-1647: Ganz anders sieht es bei diesem Fehler in Microsofts Malware Protection Engine aus, denn hier liefen die Angriffe schon vor der Bereitstellung des Fix. Auch hier benötigt der Angreifer einen lokalen Zugang, aber weder besondere Berechtigungen noch allzu viel Grips. Bis zur Version 1.1.17600.5 ist die Malware Protection Engine angreifbar, in der Version 1.1.17700.4 wurde das Problem behoben. Neben dem Windows Defender sind auch die Produkte Microsoft Security Essentials sowie System Center Endpoint Protection betroffen.
• CVE-2021-1658, CVE-2021-1660, CVE-2021-1666, CVE-2021-1667 und CVE-2021-1673: Als eher unwahrscheinlich gilt laut Microsoft das Ausnutzen von fünf Sicherheitsanfälligkeiten in der Remoteprozeduraufruf-Runtime, über die Schadcode auf das System gelangen kann. Diese Angriffe erfolgen über das Netzwerk, sind nicht allzu komplex und erfordern weder besondere Berechtigungen noch einer Interaktion des Benutzers. Betroffen sind alle Windows-Versionen inklusive der Server.
• CVE-2021-1665: Eine Sicherheitslücke in GDI+ ermöglicht bei lokalem Zugriff eine Remote-Code-Ausführung. Es sind keinerlei Berechtigungen erforderlich, die Komplexität ist niedrig, nur der Benutzer muss mitspielen. Bisher wurde der Fehler weder dokumentiert noch angegriffen und Microsoft erwartet, dass dies auch so bleibt. Angreifbar sind alle Windows-Varianten mitsamt der Server.
• CVE-2021-1668: Bei lokalem Zugriff lässt sich Schadcode ohne jegliche Berechtigungen über den DTV-DVD-Video-Decoder ausführen. Der Angriff ist simpel, nur eine Benutzerinteraktion ist erforderlich. Bisher wurde dieser Bug nicht publik gemacht oder angegriffen und in Redmond erwartet man auch zukünftig keine Attacken. Alle Windows-Versionen inklusive der Server gelten als verwundbar.
• CVE-2021-1705: Bleibt noch ein kritischer Speicherfehler in Microsoft Edge (HTML-basiert), der sich über das Netzwerk ansprechen lässt, beispielsweise durch das Laden einer manipulierten Webseite. Der Angriff ist laut Microsoft sehr aufwändig, weshalb man nicht mit einer Ausnutzung dieses Fehlers rechnet.