Microsoft-Patchday schließt FinFisher-Zero-Day und große Bluetooth-Lücke
Auch im September schließt Microsoft wieder etliche Sicherheitslücken in Windows. Die Patches dürften bereits bei den meisten Nutzern angekommen sein. Zwei Lücken stechen dieses Mal besonders heraus.
- Fabian A. Scherschel
Microsoft hat die monatlichen Sicherheitsupdates für Windows freigegeben. Insgesamt schließen diese im September 80 verschiedene Sicherheitslücken, 25 davon stuft die Firma als kritisch ein. Besonders schwer wiegen eine Zero-Day-Lücke im .NET-Framework (CVE-2017-8759) und eine Schwachstelle im Bluetooth-Treiber von Windows (CVE-2017-8628). Die .NET-Lücke wurde laut der Sicherheitsfirma FireEye vom Trojaner FinFisher (beziehungsweise FinSpy) des Staatstrojaner-Herstellers Gamma Group ausgenutzt. FireEye hat die Lücke beim Versuch entdeckt, einen nicht näher benannten "russischsprachigen Nutzer" mit dem FinFisher-Trojaner zu infizieren.
FireEye entdeckt Staatstrojaner-Angriff
In ihrem Bericht über die Entdeckung der .NET-Lücke vermutet FireEye, dass auch andere Angreifer die Schwachstelle ausgenutzt haben können. Die Sicherheitsfirma schließt das aus der Tatsache, dass Zero Days, die im Rahmen von FinFisher für Angriffe verwendet wurden, in der Vergangenheit auch in den Händen von Cyber-Kriminellen gelandet sind. FireEye ist eine Attacke auf die .NET-Lücke zum ersten Mal im Juli untergekommen. Um den Rechner eines Anwenders über die Schwachstelle zu infizieren, muss dieser ein manipuliertes Office-Dokument öffnen, das ihm vom Angreifer zugespielt wird.
Windows-Bluetooth anfällig für Man-in-the-Middle
Microsoft hat außerdem Lücken im Bluetooth-Treiber von Windows geschlossen, die mit einer Ansammlung aus Sicherheitslücken zusammenhängen, die von den Entdeckern bei der Sicherheitsfirma Armis als BlueBorn betitelt werden. Über die Lücke im Windows-Treiber hätte ein Angreifer den Netzwerk-Traffic des Gerätes über das eigene System umleiten und so als Man-in-the-Middle ausspionieren können. Um die Lücke ausnutzen zu können, muss das Opfer Bluetooth an seinem Gerät aktiviert haben und der Angreifer muss sich innerhalb der Funkreichweite des Protokolls befinden. Sind diese Bedingungen erfüllt, kann der Angreifer den Traffic abschnorcheln, ohne dass der Nutzer etwas davon mitbekommt.
NetBIOS- und DHCP-Lücken
Eine weitere kritische Lücke befindet sich im NetBIOS-Protokoll und kann dazu missbraucht werden, auf Windows-Systemen Schadcode aus der Ferne auszuführen. Da NetBIOS-Anfragen nicht über die Grenze eines LANs hinaus geroutet werden, besteht die Gefahr allerdings in der Regel nur im lokalen Netzwerk. Server-Administratoren sollten zusätzliches Augenmerk auf eine Lücke im DHCP-Server von Windows legen. Angreifer können auch hier Schadcode auf das System schleusen und ausführen, allerdings nur, wenn sich der Server im Failover-Modus befindet.
Microsoft stellt Informationen über die gepatchten Sicherheitslücken im Security Update Guide bereit. Allerdings ist die Auflistung alles andere als übersichtlich. Eine viel besser aufbereitete Liste findet sich zum Beispiel im Patchday-Blog-Artikel von HPs Zero Day Initiative. (fab)
