Microsoft-Patchday: Updates entfernen aktiv genutzten Angriffsweg aus Windows

Am gestrigen Patch Tuesday – dem umfangreichsten seit Jahresanfang – hat Microsoft 108 Schwachstellen aus verschiedenen Produkten beseitigt. 19 Schwachstellen wurden als kritisch eingestuft. 88 weitere Schwachstellen-Fixes gelten als "Important", eine als "Moderate". Nutzer von Windows und weiterer Microsoft-Software sollten sicherstellen, dass ihre Systeme die notwendigen Updates erhalten. Via aktivem Windows Update werden die Windows-Aktualisierungen standardmäßig automatisch heruntergeladen.

Vier der kritischen Schwachstellen betreffen das bereits seit vergangenem Monat verstärkt von Angreifern unter Beschuss genommene E-Mail- und Groupware-System Exchange Server. Nutzer sollten hier besonders gewissenhaft und möglichst zügig updaten – zumal die jetzt geschlossenen Lücken Angriffe aus der Ferne mit anschließender Codeausführung (Remote Code Execution) ermöglichen können.

Eine separate heise online-Meldung geht näher auf die Exchange-Schwachstellen und die Hintergründe ein. Details zu den verfügbaren Exchange-Updates nennen zudem folgende Advisories:

• CVE-2021-28480: Exchange Server RCE Vulnerability
• CVE-2021-28481: Exchange Server RCE Vulnerability
• CVE-2021-28482: Exchange Server RCE Vulnerability
• CVE-2021-28483: Exchange Server RCE Vulnerability

CVE-2021-28310: Exploit in freier Wildbahn

Unter den behobenen "Important"-Schwachstellen befindet sich eine, die laut Microsoft derzeit für Angriffe in freier Wildbahn missbraucht wird: CVE-2021-28310 macht den Fenstermanager (Desktop Window Manager, DWM) mehrerer Windows 10- und Server-Versionen zum potenziellen Einfallstor für Angreifer, die vorhandene Privilegien ausweiten und schlimmstenfalls beliebigen (Schad-)Code auf dem Zielsystem ausführen könnten. Laut Microsofts Advisory zu CVE-2021-28310 erfordert ein Angriff mindestens niedrige Systemprivilegien und ist nur lokal (oder etwa über eine SSH-Verbindung) möglich.

Wie genau ein solcher Angriff vonstatten geht, ist bislang allerdings unklar. Das Team von Kaspersky, das CVE-2021-28310 im Zuge der Analyse einer früheren, ebenfalls aktiv ausgenutzen Schwachstelle (CVE-2021-1732, gepacht im Februar) entdeckt hat, teilte dazu mit: "Wahrscheinlich wird dieser Exploit zusammen mit Browser-Exploits verwendet, um Erkennung innerhalb einer Sandbox zu entgehen und um Systemberechtigungen für den weiteren Zugriff zu erhalten. Bei der ersten Analyse durch Kaspersky konnte nicht die gesamte Infektionskette ermittelt werden. Daher ist noch nicht bekannt, ob der Exploit mit einem anderen Zero-Day-System oder mit bekannten, gepatchten Sicherheitslücken verwendet wird." Laut dem AV-Softwarehersteller machen derzeit möglicherweise mehrere voneinander unabhängige Akteure von dem Exploit Gebrauch.

Eine Übersicht über die verfügbaren Updates für Windows 10 und Server nennt Microsofts Advisory zu CVE-2021-28310 (Win32k Elevation of Privilege Vulnerability). Technische Details zur Schwachstelle liefert ein aktueller Blogeintrag von Kaspersky.

Alle Schwachstellen im Überblick

Zusätzlich zu den bereits erwähnten kritischen Schwachstellen in Exchange Server stecken zwei im Windows Media Decoder und eine weitere in Azure Sphere. Die übrigen betreffen verschiedene Betriebssystem-Komponenten und -Ausgaben. Laut Trend Micros Zero Day Initiative (ZDI) wurde noch keine jener Schwachstellen gepatcht, die Forscher vergangene Woche beim Pwn2Own-Contest demonstrierten. Dort waren Exchange Server, Windows 10 und Teams ebenfalls erfolgreich gehackt worden. Updates dürften also später folgen.

Eine übersichtliche Auflistung aller im April geschlossenen Sicherheitslücken bietet ein Blog-Eintrag von Trend Micros Zero Day Initiative. Zusammenfassende Informationen sind auch Microsofts Release-Notes zu den April 2021 Security Updates zu entnehmen.

(ovw)