Patchday: Windows-Trojaner könnte sich durch SMB-Lücke wurmartig verbreiten

Am Patchday in diesem Monat kümmert sich Microsoft um insgesamt 117 Schwachstellen in Windows & Co. 25 Sicherheitslücken gelten als "kritisch". Nutzen Angreifer diese erfolgreich aus, könnten sie unter bestimmten Voraussetzungen Schadcode ausführen und die volle Kontrolle über Computer erlangen. Wer Software von Microsoft nutzt, sollte sicherstellen, dass Windows Update die aktuellen Patches bereits installiert hat.

Ein wichtiger Patch fehlt

Derzeit sorgt vor allem eine kritische Lücke (CVE-2020-0796) im SMBv3-Protokoll in Windows 10 und Windows Server (1903, 1909) für Schlagzeilen. Einer Sicherheitswarnung von Microsoft zufolge müssen Angreifer lediglich präparierte Pakete an verwundbare SMB-Server verschicken, um die Schwachstelle auszunutzen. Anschließen sollen sie in der Lage sein, eigenen Code ausführen zu können. Auch Clients sind gefährdet. Für eine erfolgreiche Attacke müsste ein Angreifer Opfer aber dazu bringen, sich mit einem vom Angreifer kontrollierten SMBv3-Server zu verbinden.

Bislang gibt es noch keinen Patch für die Lücke. In der Warnmeldung beschreibt Microsoft einen Workaround, wie man zumindest SMB-Server absichern kann. Außerdem empfehlen sie, den TCP-Port 445 via Firewall zu blockieren.

Wenn Angreifer erfolgreich an der Schwachstelle ansetzen, könnte sich ein Trojaner Berichten zufolge wurmartig verbreiten und weitere Computer befallen. Auf diese Art hat sich im Sommer 2017 unter anderem der Erpressungstrojaner WannaCry verbreitet. Microsoft versichert, dass sie zum jetzigen Zeitpunkt noch keine Angriffe beobachtet haben.

Weitere kritische Lücken

Noch mehr gefährliche Schwachstellen finden sich in Microsoft Media Foundation von Windows 10. Gelingt hier eine Attacke und ein Opfer öffnet ein manipuliertes Dokument, könnten Angreifer Programme installieren oder Accounts anlegen. Der Webbrowser Edge ist durch zehn kritische Lücken in ChakraCore Scripting Engine bedroht. Dabei kann es zu Fehlern bei der Speicherverarbeitung kommen. Am Ende könnten Angreifer die gleichen Nutzerrechte wie ein Opfer bekommen. Internet Explorer 11 ist für ähnliche Attacken anfällig.

Als "wichtig" eingestufte Sicherheitsupdates hat Microsoft unter anderem für Office und Word veröffentlicht. Hier könnten Angreifer beispielsweise mittels manipulierten Word-Dokumenten, die Opfer öffnen, Aktionen mit den gleichen Nutzerrechten des Opfers ausführen.

Eine Übersicht zu allen gepatchten Sicherheitslücken im März findet man in Microsofts Security Update Guide. Dort muss man aber schon richtig suchen, um weitere Infos zu finden. Beispielsweise im Blog von Cisco Talos sind weitere Informationen übersichtlicher aufbereitet. (des)