Patchday: Microsoft schließt aktiv ausgenutzte Windows- und Browser-Lücken
Zum Patch Tuesday hat Microsoft unter anderem zwei kritische Sicherheitslücken geschlossen, die bereits für Angriffe missbraucht wurden.
Zum Patchday im August hat Microsoft insgesamt 120 Sicherheitslücken beseitigt – unter anderem aus verschiedenen Windows-Versionen, aus den Browsern Edge und Internet Explorer, aus der Microsoft Scripting Engine, dem .NET Framework, der Codecs Library sowie verschiedenen Office-Produkten. 17 der Lücken werden als "kritisch" eingestuft; fünf von ihnen entfallen auf die Multimedia-Plattform in Windows (Microsoft Media Foundation). Zwei der kritischen Lücken werden bereits aktiv für Angriffe missbraucht. Nutzer sollten ihre Systeme möglichst zeitnah auf den neuesten Stand bringen.
Remote Code Execution und Spoofing
Vor aktiven Angriffen auf die Sicherheitslücken CVE-2020-1380 in der Scripting Engine (in Verbindung mit dem Internet Explorer) und CVE-2020-1464 in verschiedenen Windows-Versionen warnt unter anderem die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) in einem aktuellen Advisory.
CVE-2020-1380 basiert auf Speicherfehlern, die Angreifer aus der Ferne ausnutzen könnten. Microsofts Advisory zu CVE-2020-1380 beschreibt ein webbasiertes Angrifsszenario, bei dem ein Angreifer eine speziell präparierte Dateien oder Inhalte auf einer Website hostet. Die Falle schnappt zu, sofern ein Nutzer dazu gebracht werden kann, die Seite mit dem Internet Explorer anzusurfen. Mögliche Konsequenz: Der Angreifer könnte dieselben Rechte erlangen wie der angemeldete Nutzer, aus der Ferne beliebigen Code mit den entsprechenden Rechten ausführen und, sofern es sich um Admin-Rechte handelt, das System komplett übernehmen.
CVE-2020-1464 ist eine lokal ausnutzbare Spoofing-Schwachstelle in Windows, über die ein Angreifer die Dateisignaturverifizierung aushebeln und auf diesem Wege falsch signierte, potenziell schädliche Dateien laden kann. Details zu den betroffenen Versionen nennt Microsofts Security Advisory zu CVE-2020-1464.
Über das Ausmaß der aktiven Angriffe ist in beiden Fällen nichts bekannt.
Kritische RCE-Lücken
Bei den übrigen kritischen, bislang nicht attackierten Sicherheitslücken handelt es sich durchweg um Möglichkeiten zur Remote Code Execution.
- Media Foundation: CVE-2020-1525, CVE-2020-1379, CVE-2020-1477, CVE-2020-1492, CVE-2020-1554
- Windows Codecs: CVE-2020-1560, CVE-2020-1574, CVE-2020-1585
- Scripting Engine: CVE-2020-1555, CVE-2020-1570
- Edge PDF Reader: CVE-2020-1568
- Microsoft Outlook: CVE-2020-1483
- MSHTML Engine: CVE-2020-1567
- NetLogon: CVE-2020-1472
- Windows Media: CVE-2020-1339
Weitere Hinweise zu den Updates
Im Rahmen eines Vortrags auf der Black Hat Konferenz 2020 hatte ein Forscherteam vergangene Woche vor der Neuauflage einer Sicherheitslücke gewarnt, die der Computerwurm Stuxnet früher missbrauchte, um von Windows-Systemen über den Umweg des Druckerspoolers auf industrielle Steuerungsanlagen überzuspringen. Der Lücke (CVE-2020-1337, Windows Print Spooler Elevation of Privilege Vulnerability), die frühere Vorkehrungen gegen das Sicherheitsproblem aushebelt, hat Microsoft die Risikoeinstufung "Important" zugewiesen. Sie wurde im Zuge des Patchday nun ebenfalls beseitigt.
Einen Überblick über sämtliche Patchday-Updates liefert Microsofts Security Update Guide, in dem sämtliche Security Advisories verlinkt sind. Eine kompaktere übersichtlichere Auflistung samt tabellarischer Übersicht liefert ein Blogeintrag der Zero Day Initiative zum August-Patchday.
Update 13.08.20, 13:24:
CVE-2020-1509: Lücken-Fix mangelhaft
Unmittelbar nach dem Patchday hat ein Forscher der Zero Day Initiative darauf hingewiesen, dass eine von ihm entdeckte Sicherheitslücke nicht vollständig geschlossen wurde. Da Microsoft damit die 90-Tage-Disclosure-Frist überschritten hat, hat er außerdem Proof-of-Concept-Code veröffentlicht.
Die Lücke CVE-2020-1509 betrifft Windows-10-Systeme in Unternehmensumgebungen und wurde als "Important" bewertet. Sie besteht darin, dass der LSASS-Sicherheitsdienst so genannte Enterprise Authentication Capabilities von (Business-)Anwendungen, die in AppContainern stecken, nicht richtig überprüft beziehungsweise durchsetzt. In der Konsequenz hätte sich eine durch einen Angreifer speziell präparierte App (bzw. der AppContainer) einfach via Single Sign-on im Unternehmensnetzwerk authentifizieren können – allerdings nur, sofern der Angreifer bereits über gültige Anmeldedaten eines Nutzers verfügt hätte.
Wie der Forscher via Twitter mitteilte, sorgt der mangelhafte Patch dafür, dass ein solcher Angriff nun nur noch dann funktioniert, wenn das betreffende Unternehmen einen Proxy-Server konfiguriert hat. Einen Workaround gibt es nicht, so dass Unternehmen Ausschau nach einem von Microsoft "nachgeschobenen", verbesserten Patch halten sollten.
(ovw)