Patchday: Angreifer attackieren Windows und Windows Server
Microsoft schließt fast 80 Sicherheitslücken in Windows & Co. Davon gelten mehrere Schwachstellen als kritisch.
Am Patchday im Juli hat Microsoft wichtige Sicherheitsupdates veröffentlicht, die Windows-Nutzer zügig installieren sollten. Derzeit haben es Angreifer aktiv auf Windows 7, 8.1, 10, Server 2008 und Server 2012 abgesehen.
Bei Windows 7 und Server 2008 sorgt die Win32k-Komponente beim Umgang mit Objekten im Speicher für Probleme. Für eine erfolgreiche Attacke muss ein Angreifer aber an einem verwundbaren System angemeldet sein und eine spezielle Anwendung ausführen. Klappt alles, könnte er am Ende eigenen Code im Kernel-Mode laufen lassen, warnt Microsoft in einem Beitrag. Das Sicherheitsupdate für die Lücke (CVE-2019-1132) ist als "wichtig" eingestuft.
Die zweite momentan ausgenutzte Schwachstelle (CVE-2019-0880) findet sich in der Datei splwow64.exe und deren Umgang mit bestimmten Calls. In einer Warnung betont Microsoft, dass Angreifer sich durch ein erfolgreiches Ausnutzen höhere Rechte verschaffen könnten, das Ausführen von Schadcode soll aber nicht möglich sein. Eine Kombination mit einer Remote-Code-Execution-Lücke sei aber vorstellbar.
Kritische Schwachstellen
Als besonders gefährlich gilt eine Sicherheitslücke (CVE-2019-0785) im DHCP-Server von einigen Windows-Server-Versionen. Ein entfernter Angreifer könnte mit präparierten Paketen Speicherfehler auslösen und so letztlich Schadcode ausführen. Die Lücke ist mit dem Bedrohungsgrad "kritisch" eingestuft.
Die weiteren kritischen Schwachstellen klaffen in verschiedenen Komponenten der Webbrowser Edge und Internet Explorer. In den meisten Fällen müsste ein Opfer lediglich eine von einem Angreifer vorbereitete Website besuchen, um einen Übergriff einzuleiten. Ist das erfolgreich, könnte ein Angreifer die volle Kontrolle über einen Computer erhalten.
Besonders gefährlich ist auch eine Lücke (CVE-2019-1113) in .NET Framework. Für eine Attacke muss ein Angreifer einem Opfer eine Datei unterjubeln. Öffnet ein Opfer diese, könnte ein Angreifer Code mit den Rechten des Nutzers ausführen. Handelt es sich dabei um Admin-Rechte, gilt ein Computer als kompromittiert.
Weitere Lücken
Microsoft hat einen Bug in der Krypto-Bibliothek SymCrypt geschlossen. Vor rund einem Monat hat ein Sicherheitsforscher demonstriert, wie er mit einem speziellen X.509-Zertifikat Computer via DoS-Attacke aus dem Verkehr gezogen hat.
In seinem Security Update Guide listet Microsoft weitere Details zu den Sicherheitslücken auf. Leider ist das alles andere als übersichtlich. Einen besseren Überblick bekommt man beispielsweise im Blog von Cisco Talos. (des)
