Microsoft hat im April 108 Schwachstellen gestopft

Microsoft hat im April 108 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert), dem Exchange Server, Azure (AD Web-Anmeldung, DevOps und Sphere), Visual Studio und den Rollen für den DNS-Server und Hyper-V geschlossen. 19 der 108 Sicherheitslücken sind kritischer Natur, eine wurde als moderat eingestuft und die restlichen Schwachstellen bergen allesamt eine hohe Gefahr.

Bei den verwundbaren Windows-Komponenten handelt es sich um den Anwendungskompatibilitäts-Cache, die AppX-Bereitstellungserweiterungen, den Diagnose-Hub, die Dienste- und Controller-App, ELAM (Early Launch Anti-Malware) und die dazugehörigen Treiber, die Ereignisablaufverfolgung, die Graphics-Komponente, die Konsolen-Treiber, den Installer, der Internet Messaging API, den Kernel, den Media Player und die Medienbibliothek, das Network File System (NFS), das Dateisystem NTFS, das Portmapping, die Registrierung, die Laufzeitumgebung für den Remote-Prozeduraufruf, den Ressourcen-Manager, den Secure Kernelmodus, den SMB-Server, die Spracherkennung, TCP/IP, die Überlagerungsfilter, Win32K und den WLAN-Autokonfigurationsdienst. Seitens Office wurde Sicherheitslücken in Excel, Outlook, SharePoint und Word abgesichert.

Kommen wir nun zu den 19 kritischen Fehlern, die sich allesamt zum Einschleusen von Schadcode eignen. Im Gegensatz zum März-Patchday wird bisher noch keine dieser Schwachstellen angegriffen:

• CVE-2021-27095, CVE-2021-28315: Diese beiden Sicherheitsanfälligkeiten im Windows-Media-Videodecoder ermöglicht das Ausführen von Schadcode. Sie lassen sich nur lokal ausnutzen und erfordern eine Interaktion des Benutzers, ansonsten ist der Angriff unkompliziert und benötigt keine besonderen Berechtigungen. Bisher wurden diese Schwachstellen nicht öffentlich dokumentiert oder attackiert und auch zukünftige Angriffe gelten als unwahrscheinlich. Betroffen sind alle Windows-Versionen inklusive der Server.
• CVE-2021-28329, CVE-2021-28330, CVE-2021-28331, CVE-2021-28332, CVE-2021-28333, CVE-2021-28334, CVE-2021-28335, CVE-2021-28336, CVE-2021-28337, CVE-2021-28338, CVE-2021-28339, CVE-2021-28343: Gleich zwölf kritische Remote-Code-Ausführungen über die Remoteprozeduraufruf-Runtime hat Yuki Chen vom Vulcan-Team gemeldet. Obwohl sich das Ausnutzen dieser Fehler aus dem Netzwerk heraus recht simpel gestaltet, nur geringe Berechtigungen benötigt werden und keine Benutzerinteraktionen erforderlich sind, hält Microsoft Angriffe für unwahrscheinlich. Der Entdecker der Fehler hat diese nicht öffentlich dokumentiert. Betroffen sind abermals alle Windows-Versionen inklusive der Server.
• CVE-2021-28460: Ein lokaler Angriff von hoher Komplexität kann Azure Sphere dazu bringen, nicht signierten Code auszuführen. Besondere Rechte oder ein Eingreifen des Benutzers sind hierbei nicht erforderlich. Bisher wurde diese Lücke weder öffentlich dokumentiert noch angegriffen und auch in Zukunft sind nach Ansicht der Experten aus Redmond keine Angriffe zu erwarten.
• CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483: Für wahrscheinlich hält Microsoft derweil Angriffe auf vier Bugs im Exchange Server. Das Ausnutzen der Fehler gestaltet sich einfach, funktioniert aus dem Netzwerk heraus und erfordert weder besondere Rechte noch eine Bestätigung durch den Benutzer. Betroffen sind die Exchange Server 2013 Cumulative Update 23, 2016 Cumulative Update 19 und 20 sowie 2019 Cumulative Update 8 und 9. Gemeldet wurden die Sicherheitslücken von US-Geheimdienst National Security Agency (NSA).

Unter den 88 hochgefährlichen Fehlern finden sich 37 Code-Ausführungen, 19 Rechteausweitungen sowie 17 Datenlecks. Dazu kommen acht Schwachstellen zum Blockieren von Diensten (Denial of Service), fünf Möglichkeiten zum Umgehen von Sicherheitsmaßnahmen und zwei Täuschungem (Spoofing). Bei dem als moderat eingestuften Fehler handelt es sich um eine DoS-Schwachstelle.