Microsoft hat im Oktober 74 Schwachstellen gestopft

Microsoft hat im Oktober 74 Sicherheitslücken in Windows, Office, Edge (Chromium-basiert für Windows), den Active Directory-Verbunddiensten (AD FS), der DWM-Kernbibliothek, Dynamics, dem Exchange Server, der Graphics-Komponente, dem Konsolenfenster-Host, HTTP.sys, Intune, dem Rich-Text-Bearbeitungssteuerelement, im System Center und Visual Studio nebst .NET Core geschlossen. Drei Sicherheitslücken sind kritischer Natur, 70 bergen eine hohe Gefahr und eine ist vergleichsweise harmlos. Bei einem der hochgefährlichen Bugs handelt es sich um eine 0-Day-Lücke. Als Premiere gibt es die ersten kritischen Sicherheitslücken in Windows 11 und Windows Server 2022.

Bei den verwundbaren Windows-Komponenten handelt es sich um den AppContainer, die AppX-Bereitstellungsdienste, den Bind-Filtertreiber, die Desktop-Brücke, DirectX, die Druckerspooler-Komponenten, die Ereignisablaufverfolgung, das exFAT-Dateisystem, den Fastfat-Treiber, den Installer, den Kernel, die Medienbibliothek, die MSHTML-Plattformen, den Minifiltertreiber für Clouddateien, die Netzwerkadressenübersetzung (NAT), die Remoteprozeduraufruf-Runtime, den Speicherplatz-Controller, TCP/IP, Text Shaping, den Treiber des gemeinsamen Protokolldateisystems, die Umgebungsfreigabe und das Win32-Subsystem (Win32K). Seitens Office wurde Sicherheitslücken in Excel, SharePoint, Visio und Word abgesichert. Überarbeitet wurden zudem die Rollen für den DNS-Server, den Active Directory Verzeichnisserver, den AD FS-Server (Active Directory Federation Services) und Hyper-V.

Kommen wir nun zu den drei kritischen Fehlern, die sich allesamt zum Einschleusen von Schadcode eignen:

• CVE-2021-38672: Ein böswilliger Hype-V-Gast kann einen Fehler bei der Speicherzuweisung auslösen und im Anschluss den Kernel-Speicher des Hosts lesen. Microsoft hält einen Ausbruch des Gastes aus der Virtuellen Maschine für möglich und beschreibt diese Schwachstelle als komplex. Glücklicherweise ist der Angriff auf der Protokollebene auf eine logisch angrenzende Topologie beschränkt, er lässt sich also nur auf benachbarte Geräte (Bluetooth oder WiFi), ein logisches Netzwerk oder eine eingeschränkte Verwaltungsdomäne anwenden. Besondere Berechtigungen benötigt der Gast ebenso wenig wie die Interaktion eines Benutzers. Bisher wurde die Schwachstelle weder öffentlich dokumentiert noch wird sie ausgenutzt. Auch eine spätere Ausnutzung gilt als unwahrscheinlich. Betroffen sind Windows 11 sowie Windows Server 2022.
• CVE-2021-40461: Auch die zweite kritische Schwachstelle betrifft Hype-V und ist auf die logisch angrenzende Topologie beschränkt. Wie bei CVE-2021-38672 gilt der Angriff als komplex und kommt ohne besondere Berechtigungen oder Nutzerinteraktionen aus. Neben Windows 11 und Windows Server 2022 sind auch Windows 10 Version 1809 bis Version 21H1 sowie Server 2019 und Server Version 2004 bis 20H2 verwundbar. Im schlimmsten Fall kann ein bösartiger Gast eigenen Code auf den Host schleusen und dort ausführen. Auch diese Lücke wurde noch nicht öffentlich dokumentiert oder attackiert und zukünftige Angriffe erwartet man in Redmond ebenfalls nicht.
• CVE-2021-40486: Das dritte Einfallstor für Schad-Code wurde in der Textverarbeitung Word entdeckt. Die Vorgehensweise ist simpel und erfordert keinerlei Berechtigungen. Allerdings muss der Benutzer zu einer Interaktion verleitet werden, denn dieser Angriff funktioniert nur auf lokaler Ebene. Tückisch wird diese Sicherheitsanfälligkeit dadurch, dass auch das Vorschaufenster als Angriffsvektor eingesetzt werden kann - es ist also gar nicht notwendig, eine präparierte Datei zu öffnen. Auch dieses Sicherheitsproblem wurde noch nicht öffentlich dokumentiert. Es wird bisher nicht angegriffen und das soll laut Microsoft auch nicht geschehen. Betroffen sind der Office Online Server, Office 2019, Word 2016 und 2013 SP1 (auch die RT-Variante), die Office Web Apps Server 2013 SP1, der SharePoint Server 2019 und die SharePoint Enterprise Server 2016 und 2013 SP1.

Und eine 0-Day-Lücke
Unter den 70 hochgefährlichen Fehlern finden sich 21 Rechteausweitungen, 17 Code-Ausführungen sowie 13 Datenlecks. Dazu kommen acht Täuschungen (Spoofing), sechs Umgehungen von Sicherheitsmaßnahmen und fünf Möglichkeiten zum Blockieren von Diensten (Denial of Service). Bei der Schwachstelle mit geringem Bedrohungspotential handelt es sich um eine Täuschung. Vier hochgefährlichen Lücken gilt eine besondere Erwähnung: CVE-2021-40469 (Remote-Code-Ausführung), CVE-2021-41335 (Rechteerweiterung) und CVE-2021-41338 (Umgehung von Sicherheitsfunktionen) wurden bereits vorab von Dritten öffentlich dokumentiert und bei CVE-2021-40449 handelt es sich um eine 0-Day-Lücke, die schon vor der Bereitstellung eines Flicken ausgenutzt wurde:

• CVE-2021-40449 ermöglicht eine Rechteausweitung über das Win32-Subsystem (Win32K), betroffen sind alle Windows-Versionen von 7 bis 11 sowie die Server von 2008 bis 2022. Die Angriffskomplexität ist niedrig, es werden keine besonderen Berechtigungen und auch keinerlei Benutzerinteraktion benötigt. Der einzige, recht schwache Trost: Die Attacken sind nur lokal möglich, so dass für Angriffe über das Netzwerk in der Regel die Kombination mit einer weiteren Sicherheitslücke notwendig ist.