Patchday: Microsoft schließt Wurmlöcher

Wie angekündigt schließt Microsoft mit 9 Sicherheits-Updates 11 Sicherheitslücken. Eine davon nutzte bereits der über die LNK-Lücke bekannt gewordene Wurm Stuxnet zur Weiterverbreitung.

In Pocket speichern vorlesen Druckansicht 203 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Wie angekündigt schließt Microsoft mit 9 Sicherheits-Updates 11 Sicherheitslücken. Lücken im Printer Spooler, dem MPEG-4-Codec, im Unicode-Script-Prozessor und Outlook stufen die Redmonder als kritisch ein.

Nach Angaben des Security Response Center ist man auf die Lücke im Spooler während der Analyse des Wurms Stuxnet gestoßen, der in Zusammenhang mit der LNK-Lücke bekannt wurde. Stuxnet hatte nämlich einige nicht ganz offensichtliche Tricks auf Lager. Der Wurm suchte nach Systemen im Netz, auf denen der standardmäßig nicht aktive Spooler lief, und drang über eine bislang unbekannte Lücke in sie in. Damit nicht genug: Zwei weitere, bis dato unbekannte Schwachstellen nutzte er dann, um an höhere Rechte zu gelangen. Diese Zero-Day-Lücken will Microsoft erst in einem kommenden Update schließen.

Der mit einer gültigen digitalen Signatur versehene Wurm hatte es insbesondere auf WinCC-Systeme für die Prozessleittechnik des Herstellers Siemens abgesehen und nutzte für Datenbankzugriffe sogar die hardcodierten Zugangsdaten. Mit vier Zero-Day-Exploits und gültigen digitalen Signaturen hat bis dato noch kein Wurm aufgewartet; die neuen Informationen über seine Fähigkeiten werfen erneut die Frage nach seinen Urhebern und seinem konkreten Auftrag auf.

Microsofts Updates beseitigen zudem Schwachstellen in den Internet Information Services (IIS), im RPC-Client und WordPad. Der Hersteller hat ihnen jedoch nur dem Schweregrad "Hoch" zugeordnet, obwohl sie das Einschleusen und Ausführen von Code aus der Ferne ermöglichen. Bei IIS ist dies jedoch nur in Zusammenhang mit der Option FastCGI möglich, die standardmäßig nicht aktiviert ist. Der Fehler im RPC-Client lässt sich nur bei einer Verbindung mit einem manipuliertem RPC-Server ausnutzen und die WordPad-Lücke erfordert die Mithilfe des Anwenders, der ein Dokument öffnen muss.

Daneben beseitigen die Updates DoS-Schwachstellen im "Local Security Authority" Subsystem sowie im Client/Server-Runtime-Subsystem (CSRSS).

Siehe dazu auch:

(dab)