Microsoft hat im August 44 Schwachstellen gestopft

Microsoft hat im August 44 Sicherheitslücken in Windows, Office, .NET Core und Visual Studio, der Skript-Engine, ASP .NET, Azure, Dynamics, der Graphics-Komponente und dem Remotedesktopclient geschlossen. Sieben der 44 Sicherheitslücken sind kritischer Natur, die restlichen Schwachstellen bergen allesamt eine hohe Gefahr. Zwei Lücken, darunter eine kritische, wurden bereits vorab öffentlich gemacht. Eine dritte wird bereits angegriffen.

Bei den verwundbaren Windows-Komponenten handelt es sich um den Benutzerprofildienst, den Bluetooth-Dienst, den Defender, die Dienste für NFS ONCRPC XDR-Treiber, die Druckerspooler-Komponenten, die Ereignisablaufverfolgung, die Kryptografiedienste, Windows Media und die Medienbibliothek, die MSHTML-Plattformen, NTLM (NT LAN Manager), den Speicherplatz-Controller, TCP/IP sowie um das Update und den Update-Assistenten. Seitens Office wurde Sicherheitslücken in der Office-Suite selbst sowie in Word und SharePoint abgesichert. Hinsichtlich Azure sind auch Azure Sphere und Azure Active Directory Connect betroffen.

Kommen wir nun zu den sieben kritischen Fehlern, die sich allesamt zum Einschleusen von Schadcode eignen:

• CVE-2021-36936: Wir beginnen mit dieser Sicherheitslücke im Windows-Druckerspooler, da diese bereits öffentlich dokumentiert wurde und man mit zeitnahen Angriffen rechnen muss. Der wenig komplexe Angriff erfolgt über das Netzwerk, benötigt kaum Berechtigungen und keinerlei Benutzerinteraktion. Er bedroht Windows 7 bis Windows 10 Version 21H1 sowie die Windows Server 2008 bis Version 20H2. Das alles erinnert sehr an die letztmonatige 0-Day-Lücke PrintNightmare, die Administratoren in aller Welt schlaflose Nächte bereitet hatte.
• CVE-2021-26424: Dieser kritische Fehler in der TCP/IP-Implementierung von Windows 7 bis Windows 10 Version 21H1 sowie allen davon abstammenden Server-Systemen ermöglicht Angriffe von einem Hyper-V-Gast auf dessen Hyper-V-Host. Es reicht ein speziell gestalteter IPv6-Ping, um den Bug auszunutzen und Schadcode auf dem Server auszuführen. Die Angriffskomplexität und die erforderlichen Berechtigungen sind niedrig, eine Benutzerinteraktion ist nicht erforderlich. Bisher wurde dieser Angriff weder öffentlich dokumentiert noch wird er bereits verwendet. In Redmond geht man allerdings von drohenden Angriffen aus.
• CVE-2021-26432: Ebenfalls über das Netzwerk lassen sich die Windows-Dienste für NFS ONCRPC XDR-Treiber zum Einschleusen von Schadcode missbrauchen. Auch dieser Angriff ist simpel, er erfordert keinerlei Berechtigungen oder Benutzerinteraktionen. Betroffen sind neben Windows 8.1 bis Windows 10 Version 21H1 auch die jeweiligen Server-Ausgaben. Offenbar geht es um mehrere Schwachstellen, die bisher noch nicht offengelegt wurden. Es sind keine Angriffe bekannt, doch dies dürfte sich laut Microsoft in absehbarer Zeit ändern.
• CVE-2021-34480: Dieser Speicherfehler im Skriptmodul lässt sich nicht trivial ausnutzen und erfordert eine Benutzerinteraktion, aber keine besonderen Berechtigungen. Im Ernstfall reicht allerdings der Aufruf eine präparierten Webseite bzw. das Öffnen eines bösartigen E-Mail-Anhangs. Als verwundbar gelten Windows 7 bis Windows 10 21H1 sowie die Server 2008 R2 bis 2019. Bisher wurde das Problem nicht öffentlich gemacht und es wurden auch keine Angriffe verzeichnet. Eine spätere Ausnutzung gilt aber als wahrscheinlich.
• CVE-2021-34530: Diese Sicherheitsanfälligkeit in der Grafikkomponente von Windows 10 (bis einschließlich Version 21H1) und Windows Server 2016 bis 20H2 lässt sich nur lokal ausnutzen, dafür ist die Angriffskomplexität gering und es sind keine Berechtigungen erforderlich. Die benötigte Benutzerinteraktion stellt bei lokalen Angriffen keine Hürde dar. Der Bug wurde bisher nicht öffentlich gemacht und auch nicht angegriffen. Und dabei dürfte es laut Microsoft auch bleiben.
• CVE-2021-34534: Eine weitere Remote-Code-Ausführung beschert uns die MSHTML-Plattform. Abermals muss der Benutzer einen E-Mail-Anhang öffnen oder eine präparierte Webseite aufrufen, um den Angriff in Gang zu setzen. Berechtigungen sind nicht erforderlich, doch das Prozedere ist komplex. Bisher wurde diese Sicherheitslücke weder öffentlich dokumentiert noch ausgenutzt, in Redmond hält man zukünftige Angriffe ebenfalls für unwahrscheinlich. Verwundbar sind Windows 10 (bis einschließlich Version 21H1) sowie die Windows Server 2016 und 2019.
• CVE-2021-34535: Ein Angreifer, der die Kontrolle über den Remotedesktopserver hat, kann dem Remotedesktopclient beliebigen Code unterschieben. In einem Hyper-V-Szenario kann ein bösartiges Programm, das auf dem Gast ausgeführt wird, den Fehler über den Hyper-V Viewer auslösen und damit Code auf den Host schleusen. Die Angriffskomplexität ist niedrig und es sind keine Berechtigungen erforderlich, wohl aber die Interaktion des Benutzers. Dieser Angriff wurde bisher weder öffentlich dokumentiert noch in der freien Wildbahn beobachtet, doch dies dürfte sich in absehbarer Zeit ändern. Der Fehler steckt in Windows 7 bis Windows 10 Version 21H1 sowie in Windows Server 2008 R2 bis 2019.

Unter den 37 hochgefährlichen Fehlern finden sich 16 Rechteausweitungen, acht Datenlecks sowie sechs Code-Ausführungen. Dazu kommen zwei Möglichkeiten zum Blockieren von Diensten (Denial of Service) und vier Täuschungen (Spoofing). Eine hochgefährliche Schwachstelle wird bereits ausgenutzt und eine zweite wurde öffentlich dokumentiert:

• CVE-2021-36948: Diese Sicherheitsanfälligkeit im Windows Update Medic Service wird gezielt für Rechteerweiterungen missbraucht. Da der Fehler nur lokal ausgenutzt werden kann, wird eine zweite Schwachstelle benötigt, um aus dem Netz auf den PC zu gelangen. Angriffskomplexität und erforderliche Berechtigungen sind niedrig, Benutzerinteraktion werden nicht gebraucht. Das Problem findet sich in Windows 10 Version 1809 bis Version 21H1 sowie in den Servern 2019, Version 2004 und Version 20H2.
• CVE-2021-34535: Dieser Fehler im LSA (Local Security Authority) von Windows fällt in den Bereich Spoofing (Täuschung). Konkret kann ein nicht authentifizierter Angreifer den Domänencontroller über die LSARPC-Schnittstelle dazu zwingen, sich mit NTLM (NT LAN Manager) gegenüber anderen Servern zu authentifizieren. Das Verfahren wurde öffentlich dokumentiert, so dass man zeitnahe Angriffe befürchten muss. Die Angriffskomplexität ist niedrig, Berechtigungen oder Benutzerinteraktion sind nicht erforderlich. Betroffen sind alle Windows Server ab 2008.