Patchday: Sechs Windows-Lücken öffentlich bekannt, durch eine schlüpft Emotet

Am letzten Patchday in diesem Jahr hat Microsoft Sicherheitsupdates für 67 Lücken veröffentlicht. Davon sind sieben als "kritisch" eingestuft. Eine Schwachstelle in Windows nutzen Angreifer derzeit aktiv aus. Fünf weitere Lücken sind öffentlich bekannt und es könnten Angriffe bevorstehen.

Schlupfloch für Emotet

Wie aus Microsofts Sicherheitscenter hervorgeht, sind diese Schwachstellen größtenteils mit dem Bedrohungsgrad "hoch" eingestuft. Einen Fehler (CVE-2021-43890) im Windows AppX Installer nutzen derzeit Microsoft zufolge die Drahtzieher der aktuellen Emotet-Kampagne aus, um Malware auf Systeme zu schieben. Damit eine Attacke klappt, müssen Angreifer Opfer dazu bringen, einen präparierten Dateianhang zu öffnen.

Würden Angreifer erfolgreich an den weiteren öffentlich bekannten Lücken ansetzen, könnten sie sich höhere Nutzerrechte verschaffen, um Computer zu kompromittieren.

Schadcode-Attacken

Die kritischen Schwachstellen betreffen unter anderem iSNS Server (CVE-2021-43215), Microsoft Defender (CVE-2021-42310) und Office (CVE-2021-43905). In allen Fällen könnten Angreifer ohne Authentifizierung aus der Ferne Schadcode auf Systemen ausführen. Dafür müssen Angreifer in einigen Fällen lediglich spezielle vorbereitete Pakete an verwundbare Systeme schicken. Außerdem schließt Microsoft 15 Schadcode-Lücken im auf Chromium basierenden Edge Browser.

Die verbleibenden Sicherheitslücken in unter anderem DirectX, HyperV und SharePoint sind größtenteils mit dem Bedrohungsgrad "hoch" versehen. Nach erfolgreichen Attacken könnten Angreifer beispielsweise VMs über DoS-Attacken abschießen oder auf eigentlich abgeschottete Informationen zugreifen.

Die Installation der Office- und Windows-Sicherheitspatches passiert in der Standardeinstellung vom Betriebssystem automatisch über Windows Update.

(des)