Microsofts November-Patchday: Windows-Nutzer und Server-Admins müssen dringend handeln
An seinem Patchday hat Microsoft überraschend eine kritische Lücke in der Krypto-Infrastruktur von Windows gestopft. Angreifer können durch sie sowohl in Desktops als auch in Server eindringen. Zwei angekündigte Patch-Pakete wurden indes zurückgehalten.
- Ronald Eikenberg
Anlässlich seines November-Patchdays hat Microsoft zwar nur 14 statt der angekündigten 16 Patch-Pakete veröffentlicht, allerdings behandeln vier davon kritische Lücken – und die haben es in sich. Unter anderem hat das Unternehmen eine fatale Schwachstelle in der Schannel (auch Secure Channel) genannten Krypto-Infrastruktur von Windows geschlossen. Wie Microsoft in dazugehöriigen Advisory schreibt, können Angreifer die Lücke missbrauchen, um mit speziell präparierten Datenpaketen Code in Windows Server 2003 SP2 bis 2012 R2 einzuschleusen.
Schannel-Lücke betrifft auch Desktops
In einem Newsletter erklärt Microsofts Sicherheitsteam außerdem, dass darüber auch die Desktop-Versionen von Windows angreifbar sind. Nutzer können sich demnach Schadcode einfangen, wenn sie etwa eine präparierte Webseiite öffnen.
Auch wenn Microsoft angibt, die Schwachstelle bei einem internen Audit entdeckt zu haben, sollten Betroffene umgehend handeln. Schließlich liefert der Patch Angreifern wertvolle Hinweise darauf, an welcher Stelle das Sicherheitsleck gestopft wurde. Außerdem bringt das Schannel-Update die Unterstützung für vier neue Cipher Suites mit.
Sandworm-Lücke gestopft
Darüber hinaus hat Microsoft auch zwei kritische Lücken in der OLE-Schnittstelle sämtlicher Windows-Versionen abgedichtet, die bereits für Cyber-Attacken missbraucht wurden. Auch sie erlauben das Einschleusen von Schadcode. Wenigstens eine der beiden steht in Zusammenhang mit der Sandworm-Schwachstelle, die Microsoft bereits im Oktober abzudichten versuchte.
Die Sicherheitsfirma McAfee stellte kurz darauf jedoch fest, dass man die Lücke auch nach der Installation des Oktober-Patches ausnutzen kann. Microsoft reagierte darauf mit einem FixIt-Tool, welches das Sicherheitsloch provisorisch abgedichtet hat. Angreifer können die OLE-Lücken über speziell präparierte Webseiten und Office-Dokumente missbrauchen. Ist der Nutzer als Admin unterwegs, kann der Schadcode auch mit Adminrechten wüten.
Sammelpatch für den Internet Explorer
Bei den übrigen "kritischen" Patch-Paketen handelt es sich um ein Sammel-Update für den Internet Explorer 6 bis 11 sowie ein Sicherheits-Update für XML Core Services sämtlicher noch unterstützer Windows-Versionen (einschließlich Server). Ein Angreifer kann die Lücken nutzen, um IE-Nutzern Schadcode beim Surfen unterzujubeln.
Patches, Patches, Patches
Weitere zehn Patch-Pakete stuft Microsoft maximal als "wichtig" ein. Eines davon betrifft etwa Microsoft Word 2007 SP3, den Word Viewer und das Office Compatibility Pack SP3. Es dichtet drei vertraulich gemeldete Lücken ab, die sich ebenfalls zum Einschleusen von Code eignen.
Privilege-Escalation-Lücken dichtete Microsoft etwa in sämtlichen Windows-Versionen, in SharePoint Server 2010 SP2, in Windows Server 2003 SP2 sowie im .NET Framework ab. Eine vollständige Übersichtstabelle gibt es bei Microsoft. Das Unternehmen will die beiden ausgebliebenen Patch-Pakete nachreichen, sie müssen unplanmäßig getestet werden und wurden nicht als kritisch eingestuft.
(rei)
