Microsoft hat einen geschäftigen April-Patch-Dienstag mit Zero-Days und Exchange-Fixes

Cyber Security News

Microsoft behebt 110 Sicherheitslücken, wobei 19 als kritisch eingestuft werden und eine weitere Schwachstelle aktiv angegriffen wird.

Microsoft hatte am Dienstag alle Hände voll zu tun, um fünf Zero-Day-Schwachstellen zu beseitigen, eine Sicherheitslücke zu schließen, die aktiv angegriffen wird, und weitere Patches für die problembehaftete Microsoft Exchange Server-Software aufzuspielen.

Insgesamt hat Microsoft Patches für 110 Sicherheitslücken veröffentlicht, von denen 19 als kritisch und 88 als wichtig eingestuft wurden. Die schlimmste dieser Schwachstellen ist wohl die Win32k-Schwachstelle (CVE-2021-28310), die von der cyberkriminellen Gruppe BITTER APT aktiv ausgenutzt wird.

Aktiv ausgenutzter Zero-Day

“Wir glauben, dass dieser Exploit in freier Wildbahn verwendet wird, möglicherweise von mehreren Bedrohungsakteuren. Es handelt sich um einen Escalation of Privilege (EoP)-Exploit, der wahrscheinlich zusammen mit anderen Browser-Exploits verwendet wird, um Sandboxen zu umgehen oder Systemprivilegien für weitere Zugriffe zu erlangen”, schreibt Kaspersky in einem Bericht vom Dienstag, in dem der Fund detailliert beschrieben wird.

Bei dem Fehler handelt es sich um eine Out-of-Bounds-Write-Schwachstelle in der Windows-Bibliothek dwmcore.dll, die Teil des Desktop Window Manager (dwm.exe) ist. “Aufgrund der fehlenden Bound-Checking-Funktion können Angreifer eine Situation schaffen, die es ihnen erlaubt, kontrollierte Daten an einem kontrollierten Offset mit Hilfe der DirectComposition-API zu schreiben”, schreiben die Kaspersky-Forscher Boris Larin, Costin Raiu und Brian Bartholomew, Co-Autoren des Berichts.

Mehr Bugs im Zusammenhang mit Problem geplagt Exchange behoben

Erwähnenswert ist, dass die Nationale Sicherheitsbehörde der USA Informationen über vier kritische Exchange Server-Schwachstellen (CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483) veröffentlicht hat, die Versionen betreffen, die zwischen 2013 und 2019 veröffentlicht wurden.

“Diese Sicherheitsanfälligkeiten wurden mithilfe des Exploitability Index von Microsoft als ‘Exploitation More Likely’ eingestuft. Bei zwei der vier Sicherheitsanfälligkeiten (CVE-2021-28480, CVE-2021-28481) handelt es sich um eine Prä-Authentifizierung, d. h. ein Angreifer muss sich nicht gegenüber dem anfälligen Exchange-Server authentifizieren, um die Schwachstelle auszunutzen. Angesichts des großen Interesses an Exchange Server seit letztem Monat ist es wichtig, dass Unternehmen diese Exchange Server-Patches sofort anwenden”, schrieb Satnam Narang, Staff Research Engineer bei Tenable, in einem Kommentar an Threatpost.

Microsoft weist darauf hin, dass zwei der vier von der NSA gemeldeten Exchange-Fehler auch intern von seinem eigenen Forschungsteam gefunden wurden.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2020/09/25150114/Bug-Bounty-Code_small-300x198.jpg]Bugs, Bugs und noch mehr Bugs

Zu den von Microsoft behobenen Fehlern gehören auch Patches für den Chromium-basierten Webbrowser Edge, Azure und Azure DevOps Server, Microsoft Office, SharePoint Server, Hyper-V, Team Foundation Server und Visual Studio.

“Der Patch Tuesday im April bringt… [are] die höchste monatliche Gesamtzahl für 2021 (bis jetzt) und zeigt eine Rückkehr zu den 100-plus-Gesamtzahlen, die wir im Jahr 2020 durchgängig gesehen haben. In diesem Monat wurden 19 kritische Schwachstellen und eine hochgefährliche Zero-Day-Schwachstelle gefunden, die aktiv in freier Wildbahn ausgenutzt wird”, schreibt Justin Knapp, Senior Product Marketing Manager bei Automox, in einer vorbereiteten Analyse, die Threatpost vorliegt.

“Wir sehen diesen Monat auch mehrere browserbezogene Schwachstellen, die sofort behoben werden sollten”, schrieb Knapp. “Dies stellt einen allgemeinen Aufwärtstrend dar, der sich im Laufe des Jahres fortsetzen dürfte und eine größere Dringlichkeit in Bezug auf die Patching-Geschwindigkeit mit sich bringt, um sicherzustellen, dass Unternehmen sich nicht unnötig exponieren, insbesondere angesichts der zunehmenden Ausnutzung bekannter, veralteter Sicherheitslücken.”

Interessanterweise wies Knapp darauf hin, dass Best Practices für das Patchen von entscheidender Bedeutung für Unternehmen sind, da sie mit einer Belegschaft konfrontiert sind, die immer noch größtenteils aus der Ferne arbeitet und aufgrund der COVID-19-Pandemie zur sozialen Distanz gezwungen ist.

“Mit der dramatischen Verschiebung hin zur Remote-Arbeit im Jahr 2020, die nun im Jahr 2021 zu einer festen Größe wird, ist es auch erwähnenswert, wie wichtig es ist, Maßnahmen zu ergreifen, die neu veröffentlichte Sicherheitsupdates sofort über eine dezentralere, vielfältigere Menge von Assets und Umgebungen verteilen können”, sagte er.

Office Remote Code Execution Bugs

Beunruhigend angesichts der Allgegenwärtigkeit von Microsoft Office sind vier Sicherheitslücken für Remotecodeausführung, die diesen Monat in der Produktivitätssuite gepatcht wurden. Betroffen sind Microsoft Word (CVE-2021-28453) und Excel (CVE-2021-28454, CVE-2021-28451) sowie ein vierter Fehler (CVE-2021-28449), der nur für Microsoft Office gelistet ist. Die Updates sind als wichtig eingestuft und wirken sich laut Microsoft auf alle Versionen von Office einschließlich Office 365 aus.

Jay Goodman, Manager of Product Marketing bei Automox, merkt in einem vorbereiteten Patch Tuesday-Kommentar an, dass Microsofts Patch-Runde eine Reihe von Fehlern enthält, die als Remote-Procedure-Call (RPC)-Laufzeit-Remote-Code-Execution-Bugs identifiziert wurden.

“RPC ist ein Protokoll, das verwendet wird, um einen Dienst von einem Programm anzufordern, das sich auf einem anderen Computer oder Gerät im selben Netzwerk befindet. Die Schwachstellen ermöglichen Remotecodeausführung auf dem Zielsystem”, schreibt Goodman. “Die Schwachstelle kann durch das Senden einer speziell gestalteten RPC-Anfrage ausgenutzt werden. Abhängig von den Benutzerrechten könnte ein Angreifer Programme installieren, Daten ändern oder löschen oder zusätzliche Benutzerkonten mit vollen Benutzerrechten erstellen.”

Microsoft stuft die Schwachstelle als “weniger wahrscheinlich ausnutzbar” ein, es wird jedoch dringend empfohlen, alle RCE-Schwachstellen auf Systemen schnell zu patchen und zu beheben, so Goodman. “Das Belassen von latenten Schwachstellen mit RCE-Exploits kann leicht zu einem sich schneller verbreitenden Angriff führen.”

Haben Sie sich jemals gefragt, was in den Untergrundforen der Cyberkriminalität vor sich geht? Finden Sie es am 21. April um 14 Uhr ET während einer KOSTENLOSEN Veranstaltung von Threatpost heraus: “Underground Markets: A Tour of the Dark Economy”. Experten nehmen Sie mit auf eine Führung durch das Dark Web, einschließlich der Frage, was zum Verkauf steht, wie viel es kostet, wie Hacker zusammenarbeiten und welche neuesten Tools für Hacker verfügbar sind. Registrieren Sie sich hier für die LIVE-Veranstaltung am Mittwoch, 21. April.

Einige Teile dieses Artikels stammen aus:
threatpost.com