Microsoft hat im Mai 55 Schwachstellen gestopft

Microsoft hat im Mai 55 Sicherheitslücken in Windows, Office, dem Internet Explorer, dem Exchange Server, Visual Studio mit Visual Studio Code und .NET Core, Skype for Business und Microsoft Lync, Accessibility Insights for Web, dem Bluetooth-Treiber, Dynamics Finance & Operations, HTTP.sys und den Rollen für Hyper-V geschlossen. Vier der 55 Sicherheitslücken sind kritischer Natur, eine wurde als moderat eingestuft und die restlichen Schwachstellen bergen allesamt eine hohe Gefahr.

Bei den verwundbaren Windows-Komponenten handelt es sich um die Codec-Bibliothek, den Container-Isolation-FS-Filter-Treiber und den Container-Manager-Dienst, die kryptographischen Dienste, den CSC-Dienst (Client Side Caching), Desktop Bridge, die Grafikkomponente, IrDA, OLE, den Projected-File-System-FS-Filter, den RDP-Klienten (Remote Desktop), SMB (Server Message Block), den SSDP-Dienst (Simple Service Discovery Protocol), den WalletService und das Wireless Networking. Seitens Office wurde Sicherheitslücken in Access, Excel, SharePoint und Word abgesichert.

Kommen wir nun zu den vier kritischen Fehlern, die sich allesamt zum Einschleusen von Schadcode eignen:

• CVE-2021-26419: Dieser hochkomplexe Angriff auf die Internet Explorer 9 und 11 erfolgt über das Netzwerk. Hierzu werden keine besonderen Berechtigungen, aber eine Interaktion des Benutzers benötigt. Gelingt der Angriff, wird aufgrund eines Speicherfehlers beliebiger Schadcode ausgeführt. Bisher wird diese Schwachstelle noch nicht angegriffen, doch für die Zukunft hält Microsoft entsprechende Attacken für wahrscheinlich.
• CVE-2021-28476: Auch Hyper-V lässt sich über das Netzwerk angreifen. Hier ist die Schwierigkeit geringer und der Benutzer bleibt außen vor, doch zumindest werden einfache Berechtigungen benötigt. Dieser Bug wurde bisher nicht öffentlich dokumentiert und es gibt auch noch keinen funktionierenden Exploit-Code. Dementsprechend wurden zukünftige Angriffe als unwahrscheinlich eingestuft. Betroffen sind alle Windows-Versionen von 7 bis 10 Version 20H2 sowie die entsprechenden Server-Varianten.
• CVE-2021-31166: Als wahrscheinlicher gelten Attacken auf den HTTP-Protokollstack, denn hier wurde eine Lücke entdeckt, die sich leicht über das Netzwerk ausnutzen lässt, ohne dass hierfür Berechtigungen oder Benutzerinteraktionen von Nöten wären. Bisher ist allerdings auch für diese Schwachstelle noch kein funktionstüchtiger Exploit-Code aufgetaucht. Betroffen sind Windows 10 und Server in den Versionen 2004 und 20H2.
• CVE-2021-31194: Remote-Code-Ausführungen über die OLE-Automatisierung funktionieren ebenfalls über das Netzwerk ohne Berechtigungen oder ein Mitwirken der Benutzer. Die Komplexität ist gering, Exploit-Code liegt aber noch nicht vor. Microsoft erwartet hier auch keine baldigen Angriffe. Betroffen sind alle Windows-Generationen von 7 bis 10 Version 20H2 sowie die entsprechenden Server-Varianten.

Unter den 50 hochgefährlichen Fehlern finden sich 18 Code-Ausführungen, elf Rechteausweitungen sowie zehn Datenlecks. Dazu kommen neun Täuschungen (Spoofing) und eine Möglichkeit zum Blockieren von Diensten (Denial of Service). Mit Hilfe eines hochgefährlichen und eines als moderat eingestuften Fehlers lassen sich Sicherheitsfunktionen umgehen.