Patchday: Angreifer attackieren Kernel-Lücke in Windows
Es gibt wichtige Sicherheitsupdates für Exchange, SharePoint, Windows & Co. Darunter sind auch erste Patches für Windows 11. Eine Lücke hat die NSA gemeldet.
Am Patchday im Oktober hat Microsoft Sicherheitsupdates für .NET Core, Dynamics, Edge, Exchange Server, Office, SharePoint, System Center Operations Manager, Visual Studio und verschiedene Windows-Versionen über die Windows-Update-Funktion bereitgestellt. Drei Sicherheitslücken sind bereits öffentlich bekannt. Ein Lücke nutzen Angreifer derzeit aktiv aus.
Jetzt patchen
Bei der ausgenutzten Lücke handelt es sich um eine Schwachstelle (CVE-2021-40449 "hoch") im Kernel-Modul Win32k. Davon sind Windows 7, 8.1, 10 und einige Windows-Server-Versionen betroffen. Von den Attacken sind den Entdeckern der Lücke von Kaspersky zufolge primär Diplomaten, IT-Firmen und Militär-Einrichtungen betroffen.
Wie Attacken im Detail ablaufen, ist bislang unbekannt. Sind Angriffe erfolgreich, sollen sich Angreifer höhere Nutzerrechte aneignen können und den MysterySnail-Trojaner auf Systemen installieren. Darüber sollen sie dann Fernzugriff auf Computer haben.
Die drei öffentlich bekannten Lücken betreffen den Windows-Kernel (CVE-2021-41335 "hoch") Windows DNS Server (CVE-2021-40469 "hoch") und Windows AppContainer Firewall (CVE-2021-41338 "mittel"). Setzen Angreifer an diesen Stellen erfolgreich an, könnten sie Sicherheitsmechanismen umgehen, sich erhöhte Nutzerrechte verschaffen oder sogar Schadcode aus der Ferne ausführen. Durch die öffentliche Bekanntheit der Lücken könnten Angriffe kurz bevorstehen.
NSA hilft Microsoft
Als "kritisch" stuft Microsoft zwei Lücken in Hyper-V und eine in Word ein. In allen Fällen könnte nach erfolgreichen Attacken Schadcode auf Computern landen. Im Fall von Word muss ein Angreifer ein Opfer dazu bringen, ein präpariertes Word-Dokument zu öffnen. Dafür soll die Vorschau-Funktion ausreichen.
Eine weitere als kritisch eingestufte Schwachstelle (CVE-2021-26427) betrifft Exchange Server und könnte zu Remote Code Execution führen. Attacken sollen aber nicht über das Internet möglich sein, betont Microsoft. Lücken dieser Art haben typischerweise heftige Auswirkungen, wie die Schlagzeilen in den vergangenen Monaten zu Attacken auf Exchange Server zeigen.
Die Lücke hat die NSA an Microsoft gemeldet. Das ist eigentlich genau die Art von Bug, welche die NSA normalerweise ausnutzen würde, um selbst in fremde Server einzusteigen. Warum sie es diesmal vorgezogen hat, die Lücke bei Microsoft zu melden, lässt Raum für Spekulationen.
Unter anderem eine Schwachstelle (CVE-2021-40454 "mittel") in Rich Text Edit gefährdet Windows 11. Wie eine Attacke aussehen könnte, ist bislang unklar. Als Ergebnis könnten Angreifer im Speicher auf Passwörter im Klartext zugreifen.
Weitere Information zu den geschlossenen Sicherheitslücken listen die Sicherheitsforscher von Trend Micro in einem Blogbeitrag auf.
(des)