Insgesamt 117 Sicherheitslücken haben diese Woche einen Sicherheitspatch erhalten. Das sind mehr neue Patches als in den letzten beiden Monaten zusammen, laut einer Analyse der Zero Day Initiative. Einige der nun behobenen Schwachstellen werden momentan von Kriminellen aktiv ausgenutzt.
Schwachstellen in Exchange
Ging es um Sicherheitslücken in Microsoft Exchange, dann werden Erinnerungen an die Hafnium-Gruppe wach und an die Verzögerungen, die es im Vorfeld der Veröffentlichung gab. Deshalb dürfte es für manche eine erfreuliche Abwechslung sein, dass die nun gepatchte Sicherheitslücke während eines Hacking-Wettbewerbs (Pwn2Own) entdeckt worden ist. Die hier gefundene Schwachstelle ermöglicht das Ausführen von beliebigem Programmcode aus der Ferne.
Admins unter Druck
Dass Drucker bisweilen zum Ziel interessanter Angriffe werden, ist nichts Neues. Doch insgesamt vier neu entdeckte Schwachstellen, die zusammen auf den Namen „PrintNightmare“ (dt.: Druck-Albtraum) getauft wurden, sind so kritisch, dass Microsoft vor zwei Wochen einen Notfallpatch dafür herausgebracht hat. Auch diese Sicherheitslücken ermöglicht die komplette Übernahme eines Systems aus der Ferne. Sie werden momentan aktiv ausgenutzt – daher ist größte Eile geboten.
Das Problem: Schnell häuften sich Berichte darüber, dass der Notfallpatch nicht funktioniert. Nach Angaben von Microsoft funktioniere der Patch durchaus, aber das setzt eine korrekte Konfiguration des Systems voraus. Die problematische Komponente ist der so genannten Print-Spooler. Dieser sollte deaktiviert werden, um die Ausnutzung der Schwachstelle zu erschweren.
Kernel-Lücken
Auch ein Kernel-Exploit ist diesmal mit dabei. Ungepatchte Windows Server Core – Installationen der Versionen 2004, 2016, 2019 sowie 20H2 haben eine Schwachstelle, die eine Manipulation von SR-IOV-Ressourcen ermöglichen. Auch hier handelt es sich um eine RCE (Remote Code Execution)-Lücke. Diese Ressourcen müssen dabei noch nicht einmal einem Benutzer zugeordnet sein – es genügt, wenn sie zu einem Gast-Nutzer gehören.
DNS
Eine Remote Code Execution auf einem DNS-Server ist ebenfalls behoben. Zumindest diesmal betrifft diese Lücke aber „nur“ Server, auf denen auch die DNS-Serverrolle installiert ist. Die letzte gravierende Sicherheitslücke ähnlichen Ausmaßes in Microsofts DNS-Server ist vor einem Jahr bekannt geworden. Damals kam heraus, dass diese Sicherheitslücke insgesamt 17 Jahre alt war.
Empfehlung
Administratoren müssen dringend zumindest die kritischsten Patches so schnell wie möglich installieren.
Je mehr Zeit verstreicht, desto höher ist die Wahrscheinlichkeit, dass Angreifer ein System kompromittieren. Gerade in den ersten Stunden und Tagen nach Veröffentlichung eines Patches suchen Kriminelle gezielt nach potenziell angreifbaren Systemen. Das ist vor allem dann problematisch, wenn ein Patch eine RCE-Lücke schließt. Hier reicht dann schon ein unzureichend gesicherter und aus dem Internet erreichbarer Zugang zum Netzwerk oder ein unbedachter Klick auf eine Mail, um einen Sicherheitsvorfall auszulösen.