Patchday für Windows: Kritische Lücke in Fernwartungsfunktion

Es gibt 79 wichtige Sicherheitsupdates für Office, Windows & Co. Davon gelten 22 Schwachstellen als kritisch. Sogar Windows XP bekommt Updates.

In Pocket speichern vorlesen Druckansicht 222 Kommentare lesen
Patchday Windows: Kritische Lücke in Remote Desktop Services
Lesezeit: 4 Min.
Inhaltsverzeichnis

Am Patchday im Mai macht Microsoft etwas außergewöhnliches und veröffentlicht Sicherheitsupdates für die eigentliche ausgelaufen Produkte Windows XP und Server 2003. Der Grund dafür ist eine als "kritisch" eingestufte Sicherheitslücke (CVE-2019-0708) in der Fernwartungsfunktion Remote Desktop Services (RDP). Windows 8.1 und 10 sind davon nicht betroffen.

Angreifer sollen die Lücke aus der Ferne und ohne Authentifizierung ausnutzen können. Dafür muss sie lediglich präparierte RDP-Anfragen an einen verwundbaren Computer senden. Für eine erfolgreiche Attacke ist ein Mitwirken des Opfers nicht notwendig. Klappt alles, kann sich Malware von anvisierten Computer wurmartig weiterverbreiten und ganze Netzwerke infizieren. Davor warnt Microsoft in einer Sicherheitsmeldung.

Auch wenn es Microsoft zufolge derzeit noch keine Attacken gibt, sollten Admins den Patch dringend installieren. Es ist davon auszugehen, dass Angreifer die Lücke zeitnah ins Visier nehmen. In einem Beitrag zur Lücke findet man die bedrohten noch unterstützten Windows-Versionen. Im Supportbereich listet Microsoft die nicht mehr unterstützten Ausgaben auf, für die es Sicherheitspatches gibt

Der Großteil der weiteren kritischen Schwachstellen finden sich in der Chakra Scripting Engine. Diese verwaltet für den Browser Edge Objekte im Speicher. Der alleinige Besuch einer präparierten Website soll einen Übergriff einleiten können. Am Ende könnten Angreifer Schadcode mit Rechten des Nutzers auf Systemen ausführen. Ist ein Opfer zum Zeitpunkt der Attacke Admin, gilt der Computer als kompromittiert.

Eine weitere gefährliche Sicherheitslücke (CVE-2019-0953) bedroht verschiedene Word-Versionen. Öffnet ein Opfer ein von einem Angreifer manipuliertes Word-Dokument, könnte aufgrund von Fehlern in der Speicherverwaltung der Office-Software Schadcode auf Computern landen.

Der DHCP-Server von Windows ist ebenfalls über eine als kritisch eingestufte Sicherheitslücke (CVE-2019-0725) angreifbar. Spezielle Pakete könnten einen Speicherfehler auslösen, was wiederum zur Ausführung von Schadcode führt.

Außerdem bekommen Microsofts Webbrowser noch ein Update für den Flash Player serviert, das eine kritische Schwachstelle schließt.

Die weiteren Sicherheitsupdates sind als "wichtig" gekennzeichnet. Sie bedrohen zum Beispiel .NET Framework, Jet Database Engine und SharePoint Server

In seinem Security Update Guide listet Microsoft weitere Infos zu den Sicherheitslücken und Patches auf. Das ist aber nicht wirklich übersichtlich. Beispielsweise im Blog von Trend Micros Zero Day Initiative bekommt man einen besseren Überblick.

Wie nebenbei hat Microsoft auch Aktualisierungen für Windows 7, 8.1. und mehrere Server-Versionen veröffentlicht, die vor der Intel-Sicherheitslücke ZombieLoad (CVE-2018-12130) und anderen neu entdeckten Angriffsvarianten via Microarchitectural Data Sampling (MDS) schützen sollen.

Das Unternehmen erwähnt die Patches unter anderem in den Release-Notes zum Update und hat zusätzlich eine ausführliche Sicherheitsempfehlung mit dem Titel "Anweisungen von Microsoft zur Risikominderung von Microarchitectural Data Sampling-Sicherheitsanfälligkeiten" veröffentlicht. Darin sind auch noch einmal die Supportartikel zu allen gegen die MDS-Attacken abgesicherten Windows-Versionen verlinkt.

Microsoft weist im Zusammenhang mit den bereitgestellten Software-Updates darauf hin, dass diese "das Risiko durch die Sicherheitsanfälligkeiten (...) verringern". Für einen umfassenden Schutz sei allerdings eine Kombination aus Firmware (Microcode)- und Softwareupdates erforderlich.

Das Unternehmen habe zusätzliche Maßnahmen zum Schutz seiner Cloud-Services ergriffen. Aktuell gebe es "keine Hinweise darauf, dass die Sicherheitsanfälligkeiten zu Angriffen auf Kunden genutzt wurden."

Update 15.05.2019, 11:17: Abschnitt zu ZombieLoad hinzugefügt.

Mehr zum Thema:

(des)