Microsoft hat im Juni 49 Schwachstellen gestopft

Microsoft hat im Juni 49 Sicherheitslücken in Windows, Office, dem 3D-Viewer und Paint 3D, .NET Core, Visual Studio und den Kubernetes Tools, der Skript-Engine, der DWM-Kernbibliothek, Intune und den Rollen für Hyper-V geschlossen. Fünf der 49 Sicherheitslücken sind kritischer Natur, die restlichen Schwachstellen bergen allesamt eine hohe Gefahr.

Bei den verwundbaren Windows-Komponenten handelt es sich um den Bind-Filtertreiber, den DCOM-Server, den Defender, die Druckerspooler-Komponenten, den Ereignisprotokollierungsdienst, den Filtermanager, die HTML-Plattformen, den Installer, Kerberos, den Kernel und die Kernelmodus-Treiber, die Kryptografiedienste, die Medienbibliothek, das Network File System, das NTFS-Dateisystem, NTLM, das Remotedesktop, TCP/IP und die Treiber des gemeinsamen Protokolldateisystems. Seitens Office wurde Sicherheitslücken in Excel, Outlook und SharePoint abgesichert.

Kommen wir nun zu den fünf kritischen Fehlern, die sich allesamt zum Einschleusen von Schadcode eignen:

• CVE-2021-33742: Wir beginnen mit der einzigen 0-Day-Lücke, über die bereits Schadcode auf Windows-Systeme geschleust wurde. Der Fehler steckt in der MSHTML-Plattform von Windows 7 und 8.1, welche auch in den Server-Versionen 2008, 2008 R2, 2012 und 2012 R2 zum Einsatz kommt. Die Angriffe sind hochkomplex und erfolgen aus der Ferne. Sie benötigen keine Berechtigungen, erfordern jedoch eine Interaktion des Benutzers. Entdeckt wurde der Fehler von Clément Lecigne aus Googles Threat Analysis Group.
• CVE-2021-31959: Dieser Speicherfehler im Skript-Modul lässt sich ohne Berechtigungen aus dem Netzwerk ausführen. Er ist jedoch komplex und erfordert eine Interaktion des Benutzers. Bisher wurden keine Details veröffentlicht und es wurden auch keine Angriffe registriert, dennoch hält Microsoft zukünftige Attacken für wahrscheinlich. Betroffen sind Windows 7, 8.1 und 10 Version 1809 sowie die entsprechenden Server.
• CVE-2021-31963: Dem SharePoint-Server lässt sich aus der Ferne Schad-Code ohne Benutzerinteraktion unterschieben. Der Angriff benötigt niedrige Berechtigungen und ist schwierig durchzuführen. Bisher wurde die Schwachstelle noch nicht attackiert und Microsoft erwartet dies auch für die Zukunft nicht. Als verwundbar gelten SharePoint Foundation 2013 Service Pack 1, die SharePoint Enterprise Server 2013 und 2016 sowie der SharePoint Server 2019.
• CVE-2021-31967: Die VP9-Videoerweiterung ist ein weiteres Einfallstor für Schad-Code. Der Angriff ist simpel und benötigt keine besonderen Berechtigungen, funktioniert aber nur lokal und erfordert eine Benutzerinteraktion. Das macht den Fehler wenig attraktiv, so dass man in Redmond keine Angriffe auf diese Schwachstelle erwartet. Öffentlich dokumentiert wurde dieser Bug auch noch nicht.
• CVE-2021-31985: Die Virenschutz-Software Microsoft Defender ist ebenfalls anfällig für Schad-Code. Dieser kann ohne großen Aufwand und Berechtigungen lokal eingebracht werden, erfordert aber eine Interaktion des Benutzers. Bisher wurde das Problem weder öffentlich dokumentiert noch angegriffen, doch dies könnte sich schon bald ändern.

Unter den 44 hochgefährlichen Fehlern finden sich 13 Rechteausweitungen, zwölf Code-Ausführungen sowie sieben Datenlecks. Dazu kommen fünf Möglichkeiten zum Blockieren von Diensten (Denial of Service), vier Umgehungen von Sicherheitsmaßnahmen und drei Täuschungen (Spoofing).