Werbung
Amazon AusLese: Frischer Lesestoff für 2,49 Euro als eBook und 7,99 Euro als Taschenbuch


 

Microsoft hat im November 55 Schwachstellen gestopft

Meldung von doelf, Freitag der 12.11.2021, 16:40:50 Uhr

logo

Microsoft hat im November 55 Sicherheitslücken in Windows, Edge (Chromium-basiert) samt IE-Modus, Office, dem Exchange Server, dem 3D-Viewer, Azure samt RTOS und Sphere, Dynamics, Power BI sowie Visual Studio und Visual Studio Code geschlossen. Sechs Sicherheitslücken sind kritischer Natur, alle übrigen bergen eine hohe Gefahr. Bei zwei hochgefährlichen Bugs handelt es sich um 0-Day-Lücken, die bereits im Vorfeld ausgenutzt wurden.

Bei den verwundbaren Windows-Komponenten handelt es sich um Active Directory, COM, die Core Shell, den Defender, die Desktop-Brücke, den Diagnose-Hub, den Fastfat-Treiber, den Feedback-Hub, Hello, Hyper-V (Rolle), den Installer, den Kernel, die Kryptografiedienste, die Medienbibliothek, das NTFS-Dateisystem, das Remote Desktop Protocol (RDP), die Skripterstellung und den Virtual Machine Bus. Seitens Office wurde Sicherheitslücken in Access, Excel, SharePoint und Word abgesichert.

Kommen wir nun zu den sechs kritischen Fehlern, die sich allesamt zum Einschleusen von Schadcode eignen:

  • CVE-2021-26443: Der VMBus (Virtual Machine Bus) kann von einem bösartigen Gast missbraucht werden, um eigenen Code auf dem Host auszuführen. Hierzu werden speziell gestaltete Datenpakete über den VMBus-Kanal an den Host geschickt. Betroffen sind Windows 10 in den Versionen 1809 bis 21H1, Windows 11 sowie die Windows Server 2019 bis 2022.
    • Angriffsvektor: Angrenzend
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: Base-Score = 9.0; Temporal-Score = 7.8
  • CVE-2021-3711: Ein Puffer-Überlauf in der SM2-Entschlüsselung von OpenSSL eignet sich ebenfalls als Einfallstor für Schadcode. Diese Komponente wird zwar von der OpenSSL Software Foundation gepflegt, doch sie ist auch in Visual Studio 2017 und 2019 enthalten.
    • Angriffsvektor: k.A.
    • Angriffskomplexität: k.A.
    • Erforderliche Berechtigungen: k.A.
    • Benutzerinteraktion: k.A.
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: k.A.
  • CVE-2021-38666: Ein weiteres Mal lässt sich der Remote-Desktop-Client von Windows aus dem Netz angreifen, sofern der Benutzer eine entsprechende Anfrage bestätigt. Der Angreifer muss hierbei die Kontrolle über einen Remote-Desktop-Server haben. Betroffen sind Windows 7, 8.1, 10 und 11 sowie alle Server von 2008 bis 2022.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: wahrscheinlicher
    • CVSS v3.1: Base-Score = 8.8; Temporal-Score = 7.7
  • CVE-2021-42279: Dieser Speicherfehler in der Chakra-Skript-Engine betrifft alle Varianten von Windows 10, Windows 11 sowie die Server von 2016 bis 2022. Gelingt dem Angreifer die komplexe Attacke, kann er eigenen Code auf dem System seines Opfers ausführen.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Hoch
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: Base-Score = 4.2; Temporal-Score = 3.8
  • CVE-2021-42298: Eigentlich dient der Defender unter Windows zur Gefahrenabwehr, doch zuweilen stolpert die zugrundeliegende Malware Protection Engine über die zu prüfenden Daten, was Angreifer für ihre Zwecke missbrauchen können. Das aktuelle Problem wurde mit der Version 1.1.18700.3 der Malware Protection Engine behoben.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: wahrscheinlicher
    • CVSS v3.1: Base-Score = 7.8; Temporal-Score = 6.8
  • CVE-2021-42316: Die Versionen 9.0 und 9.1 von Dynamics 365 enthalten einen Fehler, über den Schadcode über das Netzwerk auf die Server geschleust werden kann. Alle Details behält Microsoft für sich und weist lediglich darauf hin, dass ausschließlich lokale Installationen (on-premises) betroffen sind.
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Nein
    • Eine zukünftige Ausnutzung ist: unwahrscheinlicher
    • CVSS v3.1: Base-Score = 8.7; Temporal-Score = 7.6

Und zwei 0-Day-Lücken
Unter den 49 hochgefährlichen Fehlern finden sich zwanzig Rechteausweitungen, zehn Datenlecks sowie neun Code-Ausführungen. Dazu kommen vier Täuschungen (Spoofing), drei Möglichkeiten zum Blockieren von Diensten (Denial of Service), zwei Umgehungen von Sicherheitsmaßnahmen und ein Fall von Manipulation (Tampering). Zwei Datenlecks (CVE-2021-38631 und CVE-2021-41371) und zwei Code-Ausführungen (CVE-2021-43208 und CVE-2021-43209) wurden bereits im Vorfeld öffentlich dokumentiert. Eine Code-Ausführung (CVE-2021-42321) und eine Sicherheitsumgehung (CVE-2021-42292) wurden bereits im Vorfeld ausgenutzt, es handelt sich also um sogenannte 0-Day-Lücken:

  • CVE-2021-42321: Abermals ist der Exchange Server das Ziel einer 0-Day-Lücke, welche Code-Ausführungen über das Netzwerk ermöglicht. Betroffen sind die Version 2016 (Update 21 und 22) und 2019 (Update 10 und 11).
    • Angriffsvektor: Netzwerk
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Niedrig
    • Benutzerinteraktion: Keine
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: Base-Score = 8.8; Temporal-Score = 7.7
  • CVE-2021-42292: Die zweite 0-Day-Lücke lässt Angreifer bestimmte Sicherheitsfunktionen in Excel aushebeln. Betroffen sind die Microsoft 365 Apps, Excel 2013 und 2016, Office 2013, 2016 und 2019 sowie Office LTSC 2021. Die Sicherheits-Updates für die Mac-Varianten von Office 2019 und Office LTSC 2021 sind noch nicht fertig und sollen zu einem späteren Zeitpunkt nachgereicht werden.
    • Angriffsvektor: Lokal
    • Angriffskomplexität: Niedrig
    • Erforderliche Berechtigungen: Keine
    • Benutzerinteraktion: Anforderung
    • Öffentlich gemacht: Nein
    • Ausgenutzt: Ja
    • CVSS v3.1: Base-Score = 7.8; Temporal-Score = 7.0

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]