Microsoft Patch Tuesday Updates beheben 14 kritische Bugs

Cyber Security News

Microsofts regulär geplante März-Patch-Dienstags-Updates beheben insgesamt 89 CVEs.

Microsoft hat seine regulär geplanten März-Patch-Dienstags-Updates veröffentlicht, die insgesamt 89 Sicherheitslücken schließen.

Darunter sind 14 kritische Schwachstellen und 75 Schwachstellen mit hohem Schweregrad. Microsoft hat auch fünf zuvor veröffentlichte Sicherheitslücken aufgenommen, die aktiv in freier Wildbahn ausgenutzt werden.

Vier der aktiv ausgenutzten Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065), die in Microsoft Exchange gefunden wurden, wurden Anfang des Monats als Teil eines Notfall-Patches von Microsoft veröffentlicht; Unternehmen haben sich darum bemüht, ihre Systeme zu patchen, da die Fehler weiterhin in gezielten Angriffen ausgenutzt werden. Die fünfte aktiv ausgenutzte Schwachstelle besteht in den Browsern Internet Explorer und Microsoft Edge (CVE-2021-26411). Proof-of-Concept (PoC) Exploit-Code existiert laut Microsoft auch für diese Schwachstelle.

“Für den gesamten März hat Microsoft Patches für 89 einzelne CVEs veröffentlicht, die Microsoft Windows-Komponenten, Azure und Azure DevOps, Azure Sphere, Internet Explorer und Edge (EdgeHTML), Exchange Server, Office und Office Services und Web Apps, SharePoint Server, Visual Studio und Windows Hyper-V abdecken”, sagte Dustin Childs von Trend Micros Zero Day Initiative am Dienstag.

Internet Explorer’s aktiv ausgenutzter Fehler

Der Memory-Corruption-Fehler (CVE-2021-26411) in Internet Explorer und Microsoft Edge könnte Remotecodeausführung ermöglichen. Forscher sagten, dass der Fehler einem Angreifer erlauben könnte, Code auf betroffenen Systemen auszuführen, wenn die Opfer eine speziell gestaltete HTML-Datei anzeigen.

“Obwohl die Auswirkungen nicht so groß sind wie bei den Exchange-Fehlern, sollten Unternehmen, die auf Microsoft-Browser angewiesen sind, diesen Fehler auf jeden Fall schnell beheben”, so Childs. “Eine erfolgreiche Ausnutzung würde zur Codeausführung auf der Ebene des angemeldeten Benutzers führen, was eine weitere Erinnerung daran ist, Webseiten nicht mit einem Konto mit administrativen Rechten zu durchsuchen.”

PoC-Exploit-Code ist für dieses Problem ebenfalls öffentlich verfügbar. Der Fehler hängt mit einer Sicherheitslücke zusammen”, die Anfang Februar von ENKI-Forschern öffentlich gemacht wurde. Die Forscher behaupteten, dass es sich um eine der Schwachstellen handelte, die in einer konzertierten Kampagne von staatlichen Akteuren genutzt wurde, um Sicherheitsforscher ins Visier zu nehmen, und sie sagten, dass sie PoC-Exploit-Code für die Schwachstelle veröffentlichen würden, nachdem der Fehler gepatcht wurde.

“Wie wir in der Vergangenheit gesehen haben, nehmen Angreifer diese PoCs schnell in ihre Angriffs-Toolkits auf, sobald PoC-Details öffentlich zugänglich werden”, so Satnam Narang, Staff Research Engineer bei Tenable. “Wir raten allen Unternehmen, die auf Internet Explorer und Microsoft Edge (EdgeHTML-basiert) setzen, diese Patches so schnell wie möglich einzuspielen.”

PoC Exploit Code für Windows Privilege Elevation Flaw verfügbar

Zusätzlich zu den fünf aktiv ausgenutzten Sicherheitslücken hat Microsoft einen Patch für eine Sicherheitslücke in Win32K veröffentlicht, für die ebenfalls öffentlicher PoC-Exploit-Code verfügbar ist. Diese Sicherheitsanfälligkeit hat einen hohen Schweregrad und existiert in Windows Win32K (CVE-2021-27077). Laut Microsoft kann ein lokaler Angreifer diesen Fehler ausnutzen, um erhöhte Rechte zu erlangen. Während PoC-Exploit-Code für die Schwachstelle verfügbar ist, sagte der Tech-Gigant, dass sie nicht in freier Wildbahn ausgenutzt wurde und dass eine Ausnutzung “weniger wahrscheinlich” ist.

Andere kritische Schwachstellen bei Microsoft

Microsoft hat in den Patch Tuesday-Updates dieses Monats insgesamt 14 kritische Sicherheitslücken gepatcht, darunter auch (CVE-2021-26897), die in Windows DNS-Server existiert und Remotecodeausführung ermöglichen kann. Die Schwachstelle ist eine von sieben Schwachstellen in Windows DNS Server; die anderen sechs sind als wichtig eingestuft. Die Schwachstelle mit kritischem Schweregrad kann von einem Angreifer ausgenutzt werden, der sich bereits im selben Netzwerk wie das anfällige Gerät befindet; die Angriffskomplexität für einen solchen Angriff ist “gering”.

Ein kritischer Fehler zur Remotecodeausführung besteht auch in Microsofts Hardwarevirtualisierungsprodukt Windows Hyper-V (CVE-2021-26867), der es einem authentifizierten Angreifer ermöglichen könnte, Code auf dem zugrunde liegenden Hyper-V-Server auszuführen.

“Obwohl die Schwachstelle mit einem CVSS-Wert von 9.9 aufgeführt ist, ist sie eigentlich nur für diejenigen relevant, die das Plan-9-Dateisystem verwenden”, so Childs. “Microsoft listet keine anderen Hyper-V-Clients auf, die von diesem Fehler betroffen sind, aber wenn Sie Plan-9 verwenden, sollten Sie diesen Patch unbedingt so schnell wie möglich ausrollen.”

Ein weiterer erwähnenswerter Fehler ist eine Remote-Code-Ausführungslücke, die auf Microsofts SharePoint Server existiert (CVE-2021-27076). Der Fehler kann von einem entfernten Angreifer, der sich im selben Netzwerk wie das Opfer befindet, ausgenutzt werden und hat eine geringe Angriffskomplexität, die laut Microsoft eine Ausnutzung wahrscheinlicher macht.

“Damit ein Angriff erfolgreich sein kann, muss der Angreifer in der Lage sein, Websites mit dem SharePoint-Server zu erstellen oder zu ändern”, so Childs. “Die Standardkonfiguration von SharePoint erlaubt es jedoch authentifizierten Benutzern, Websites zu erstellen. Wenn sie das tun, ist der Benutzer der Eigentümer dieser Site und hat alle erforderlichen Berechtigungen.”

Microsoft Exchange Updates: Jetzt patchen

Die Microsoft Patch Tuesday-Updates kommen zu einem Zeitpunkt, an dem Unternehmen mit bestehenden Microsoft Exchange Zero-Day-Schwachstellen zu kämpfen haben, die bereits früher offengelegt wurden und weiterhin aktiv ausgenutzt werden. Insgesamt hatte Microsoft Out-of-Band-Fixes für sieben Sicherheitslücken veröffentlicht – vier davon waren die aktiv ausgenutzten Schwachstellen.

Am Montag gab die Europäische Bankenaufsichtsbehörde eine Cyberattacke bekannt, die nach eigenen Angaben auf eine Ausnutzung der Microsoft-Exchange-Schwachstelle zurückgeht. Neben der Europäischen Bankenaufsichtsbehörde besagt ein aktueller Bericht, dass mindestens 30.000 Organisationen in den USA von Angreifern gehackt wurden, die die Sicherheitslücke ausnutzten.

“Wenn Sie Exchange on-premise betreiben, müssen Sie die veröffentlichten Richtlinien befolgen und die Patches so schnell wie möglich anwenden”, so Childs. “Microsoft hat sogar den außergewöhnlichen Schritt unternommen, Patches für nicht mehr unterstützte Versionen von Exchange zu erstellen. Wer diese Updates ignoriert, tut dies auf eigene Gefahr.”

Ebenfalls am Dienstag wurden Sicherheitsupdates von Adobe veröffentlicht, die eine Reihe von kritischen Schwachstellen beheben, die, wenn sie ausgenutzt werden, die Ausführung von beliebigem Code auf anfälligen Windows-Systemen ermöglichen könnten.

Informieren Sie sich über unsere kommenden kostenlosen Live-Webinar-Veranstaltungen – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community:
– 24. März: Economics of 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!)
– 21. April: Unterirdische Märkte: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com