Patchday: Attacken auf Windows-Kernel-Lücke
Microsoft hat wichtige Sicherheitsupdates für Office, Windows & Co. veröffentlicht. Mehrere Schwachstellen gelten als kritisch.
Am letzten Patchday im Jahr 2018 stellt Microsoft 39 Sicherheitspatches über Windows Update bereit. Wer das Betriebssystem nutzt, sollte die Installation der Patches sicherstellen: Neun Lücken sind mit dem Bedrohungsgrad "kritisch" eingestuft. Setzen Angreifer an diesen Lücken an, könnten sie Computer aus der Ferne kompromittieren.
Für eine Sicherheitslücke (CVE-2018-8611) im Windows-Kernel gibt es bereits Exploit-Code, den Angreifer derzeit aktiv einsetzen. Für eine erfolgreiche Attacke muss ein Angreifer aber an einem System angemeldet sein. Erst dann kann er Schadcode im Kernel-Modus ausführen. Microsoft stuft das Sicherheitsupdate für diese Lücke als "wichtig" ein.
Eine Schwachstelle (CVE-2018-8517) in .NET Framework ist schon öffentlich bekannt, einen Exploit gibt es Microsoft zufolge aber noch nicht. Nutzen Angreifer die Lücke aus, sollen sie aus der Ferne ohne Authentifizierung mit .NET Framework gebaute Web-Applikationen via DoS-Attacke lahmlegen können. In dem Framework klafft zusätzlich noch eine kritische Remote-Code-Execution-Lücke (CVE-2018-8540).
Weitere Schwachstellen
Darüber hinaus könnten Angreifer mit vergleichsweise wenig Aufwand einen Bug (CVE-2018-8626) im Windows DNS Server ausnutzen und so über einen Speicherfehler (Heap Overflow) Schadcode auf verwundbare Computer schieben und mit den Rechten des LocalSystem-Accounts ausführen. Admins, die einen DNS-Server auf Windowsbasis betreiben, sollten das Update zügig installieren.
In der Text-to-Speech-Funktion findet sich eine kritische Sicherheitslücke (CVE-2018-8634), die Angreifer als Einfallstor für Schadcode missbrauchen könnten. Wie das konkret funktioniert, führt Microsoft derzeit nicht aus.
Wie eigentlich an jedem Patchday sind auch wieder Edge und Internet Explorer über verschiedene als kritisch eingestufte Sicherheitslücken attackierbar. Office-Nutzer bekommen mit der Dringlichkeit "wichtig" versehene Updates für beispielsweise Excel und Office SharePoint.
In seinem Security Update Guide listet Microsoft weitere Infos zu den Sicherheitslücken und Patches auf. Das ist aber nicht wirklich übersichtlich. Beispielsweise der Blog von Trend Micros Zero Day Initiative listet die Microsoft-Updates verständlicher auf. (des)
