UPDATE: Microsoft hat im September 60 Schwachstellen gestopft

Microsoft hat im September 60 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert für Windows sowie Edge für Android), den Accessibility Insights for Android, Azure, Dynamics Business Central Control, der MPEG-2-Videoerweiterung und Visual Studio geschlossen. Drei Sicherheitslücken sind kritischer Natur und 56 bergen eine hohe Gefahr. Bleibt ein unkontrollierter Schreibzugriff in Microsoft Edge (Chrome-basiert), welcher seitens Microsoft keine Risikoeinstufung erhalten hat, da das Problem (CVE-2021-30632) in Googles JavaScript-Engine V8 steckt. Google selbst spricht von einem hohen Risiko. Und dann ist da noch eine 0-Day-Lücke, die kurz vor dem Patch-Day gestopft wurde.

Bei den verwundbaren Windows-Komponenten handelt es sich um Authenticode, den Bind-Filtertreiber, BitLocker, DNS, die Druckerspooler-Komponenten, die Ereignisablaufverfolgung, den Installer, den Kernel, die Medienbibliothek, die MSHTML-Plattformen, die Pufferung umgeleiteter Laufwerke, die Schlüsselspeicheranbieter, die Skripterstellung, SMB, Storage, das Subsystem für Linux, TDX.sys, den Treiber des gemeinsamen Protokolldateisystems, Update, Win32K, den WLAN Autokonfig-Dienst, den WLAN-Dienst und den Zusatzfunktionstreiber für Winsock. Seitens Office wurde Sicherheitslücken in der Office-Suite selbst sowie in Access, Excel, SharePoint, Visio und Word abgesichert. Hinsichtlich Azure sind Azure Sphere und die Open Management Infrastructure betroffen.

Kommen wir nun zu den drei kritischen Fehlern, die sich allesamt zum Einschleusen von Schadcode eignen:

• CVE-2021-26435: Dieser Speicherfehler in der Skript-Engine lässt sich recht trivial über das Netzwerk ausnutzen, indem ein Benutzer dazu verleitet wird, eine präparierte Datei oder Webseite zu öffnen. Besondere Berechtigungen sind nicht erforderlich. Bisher wurde die Schwachstelle weder öffentlich dokumentiert noch wird sie ausgenutzt. Auch eine spätere Ausnutzung gilt als unwahrscheinlich. Als verwundbar gelten Windows 7 bis Windows 10 21H1 sowie die Server 2008 bis 2022.
• CVE-2021-36965: Ein zweiter Fehler, welcher eine Remote-Code-Ausführung ermöglicht, steckt im AutoConfig-Dienst von Windows. Angriffe sind auf der Protokollebene auf eine logisch angrenzende Topologie beschränkt, also z.B. auf ein lokales IP-Subnetz, eine eingeschränkte Verwaltungsdomäne oder gemeinsam genutzte Funknetze (WiFi oder Bluetooth). Der Angriff selbst ist simpel und erfordert weder Berechtigungen noch Benutzerinteraktionen. Auch diese Lücke wurde noch nicht öffentlich dokumentiert oder attackiert und zukünftige Angriffe erwartet man in Redmond ebenfalls nicht. Als verwundbar gelten abermals Windows 7 bis Windows 10 21H1 sowie die Server 2008 bis 2022.
• CVE-2021-38647: Das dritte Einfallstor für Schad-Code wurde in der Azure Open Management Infrastructure entdeckt. Das Problem besteht, wenn die Open Management Infrastructure (OMI) über einen offenen HTTP/S-Port (üblicherweise Port 5986) lauscht und über speziell präparierte HTTPS-Mitteilungen stolpert. Der Angriff erfolgt über das Netz, ist einfach und erfordert weder besondere Berechtigungen noch eine Interaktion des Benutzers. Dieses Sicherheitsproblem wurde noch nicht öffentlich dokumentiert. Es wird bisher nicht angegriffen und das soll laut Microsoft auch nicht geschehen.

Keine 0-Day-Lücken
Unter den 56 hochgefährlichen Fehlern finden sich 25 Rechteausweitungen, zwölf Code-Ausführungen sowie zehn Datenlecks. Dazu kommen sechs Täuschungen (Spoofing), zwei Umgehungen von Sicherheitsmaßnahmen und eine Möglichkeit zum Blockieren von Diensten (Denial of Service). Diesen Monat gibt es keine 0-Day-Schwachstellen, also keine Fehler, die bereits angegriffen werden. Eine Rechteausweitung im DNS-System von Windows (CVE-2021-36968) wurde allerdings vorab öffentlich dokumentiert. Zukünftige Angriffe gelten dennoch als unwahrscheinlich, das sich der Fehler nur lokal ausnutzen lässt.

Oder doch?
Microsoft führt die 0-Day-Lücke CVE-2021-40444 nicht im Rahmen des gestrigen Patch-Days auf, da der Sicherheitshinweis bereits am 7. September 2021 veröffentlicht wurde. Das Problem: Am 7. September 2021 hatte Microsoft zwar einige Tipps, aber noch keine Updates zu bieten. Diese wurden erst am 13. September 2021 im Microsoft Update-Katalog bereitgestellt und der Eintrag zu CVE-2021-40444 wurde sogar erst am gestrigen Patch-Day aktualisiert. Dennoch werden die entsprechenden Patches nur für den 7. September 2021 gefunden und somit als Sicherheits-Update außer der Reihe betrachtet. Das kann man durchaus als Schönfärberei betrachten. Bei CVE-2021-40444 handelt es sich um eine als hochgefährlich eingestufte Sicherheitslücke, sie betrifft Windows 7 bis Windows 10 21H1 sowie die Server 2008 bis 2022. Gezielte Angriffe über speziell gestaltete Microsoft-Office-Dokumente, die ein bösartiges ActiveX-Steuerelement enthalten, wurden beobachtet.

Drucker-Spooler bleibt Baustelle
Die Dauerbaustelle der letzten Monate war der Drucker-Spooler von Windows (siehe PrintNightmare) und auch im September gibt es für diesen wieder drei neue Flicken. Bei CVE-2021-38667, CVE-2021-38671 und CVE-2021-40447 handelt es sich jeweils um Rechteausweitungen der Gefahrenstufe hoch. Eine Ausnutzung erwartet Microsoft nur für CVE-2021-38671, obwohl sich alle drei Fehler einfach angreifen lassen und weder besondere Berechtigungen noch eine Benutzerinteraktion erfordern. Zumindest lassen sich die drei Fehler nicht ohne Weiteres aus der Ferne attackieren.