Schwachstellen
Am letzten Patch-Tuesday hat Microsoft insgesamt 71 Sicherheitslücken geschlossen. Die gefährlichste davon ist CVE-2021-40449, eine sogenannte Use-After-Free-Schwachstelle im Windows-Kernelmodustreiber (Win32k.sys), die von Cyberverbrechern bereits für Exploits ausgenutzt wird.
Darüber hinaus hat Microsoft auch drei weitere Schwachstellen behoben, die bereits öffentlich bekannt sind. Bis jetzt halten die Experten von Microsoft einen Exploit dieser Sicherheitslücken für „eher unwahrscheinlich“. Allerdings werden diese Schwachstellen aktuell von IT-Sicherheitsexperten intensiv erörtert und Proof of Concept, bzw. die Beweise für die Durchführbarkeit der Exploits, sind inzwischen im Internet verfügbar und jemand könnte in Versuchung geraten, es auszuprobieren.
Schwachstelle im Microsoft Windows-Kernel
Der Schweregrad von CVE-2021-41335, die gefährlichste der drei Schwachstellen, beträgt 7,8 (von 10 Punkten) nach dem Common Vulnerability Scoring System (CVSS). Da sich die Schwachstelle im Windows-Kernel befindet, ermöglicht sie die Rechteausweitung für einen potenziell schädlichen Prozess.
Die Sicherheitsmechanismen von Windows-AppContainer umgehen
Die zweite Schwachstelle CVE-2021-41338 ermöglicht es, die Einschränkungen der Umgebung des Windows-AppContainers zu umgehen, die zum Schutz von Anwendungen und Prozessen dienen. Im Rahmen bestimmter Bedingungen könnte eine nicht autorisierte Person diese Schwachstelle mithilfe von den standardmäßig aktivierten Richtlinien der Windows Filterplattform (WFP) ausnutzen. Das Ergebnis von diesem Exploit ist eine Rechteerweiterung.
Mitglieder von Google Project Zero entdeckten die Sicherheitslücke im Juli. Sie gaben Microsoft eine 90-Tage-Frist, um die Schwachstelle zu beheben, um danach den Proof of Concept zu veröffentlichen. Diese Schwachstelle hat eine CVSS-Bewertung von 5,5.
Schwachstelle im Windows DNS-Server
Die Schwachstelle CVE-2021-40469 betrifft nur Rechner mit Microsoft Windows auf denen ein DNS (Domain Name System) läuft, also die DNS-Server bzw. Nameserver. Allerdings sind alle Server-Versionen des Betriebssystems anfällig – ab dem Server 2008 bis hin zum erst vor Kurzem veröffentlichen Server 2022. CVE-2021-40469 ermöglicht Remotecodeausführung (engl. Remote Code Execution, RCE) auf dem Server und hat eine CVSS-Bewertung von 7,2.
So können Sie Ihr Unternehmen schützen
Die Ergebnisse unseres Incident Response Analyst Reports 2021, der von unseren Kollegen aus der Abteilung Vorfallsreaktion (eng. Incident Response) erstellt wurde, hat gezeigt, dass Schwachstellen, weiterhin zu den beliebtesten Angriffsvektoren zählen. Darüber hinaus sind einige der Schwachstellen bereits seit Längerem bekannt – die größte Gefahr geht in diesem Fall also nicht von einer Zero-Day-Schwachstelle aus, sondern durch Verzögerungen bei der Installierung des erforderlichen Updates. Aus diesem Grund empfehlen wir grundsätzlich Aktualisierungen auf allen Geräten, die mit dem Internet verbunden sind, immer so schnell wie möglich auszuführen. Insbesondere für kritische Anwendungen, wie Betriebssysteme, Browser und Sicherheitslösungen sind die Updates von entscheidender Bedeutung.
Außerdem ist es empfehlenswert eine Sicherheitslösung mit proaktiven Schutztechnologien zu verwenden, die Zero-Day-Exploits feststellen kann, um Ihr Unternehmen auch vor Angriffen über Schwachstellen zu schützen, die bisher noch nicht bekannt sind.
Tipps