In diesem Monat werden am Patchday 74 Sicherheitslücken geschlossen, von denen 16 als kritisch gelten. Acht dieser kritischen Schwachstellen befinden sich in den Scripting-Engines und Browser-Komponenten und haben daher Auswirkungen auf die Microsoft-Browser und Office. Fünf weitere kritische Lücken betreffen MSXML. In GDI+ und IOleCvt werden zwei kritische Sicherheitslecks gestopft, die eine Remotecodeausführung (RCE) ermöglichen. Zwei kritische Schwachstellen in Win32k, die eine Erweiterung von Rechten erlauben, werden laut Microsoft bereits aktiv angegriffen, und für eine weitere Sicherheitslücke im Windows AppX-Bereitstellungsdienst existiert ein öffentlich verfügbarer PoC-Exploit.
Workstation-Patches
Die Patches für die Scripting-Engine und MSXML sollten bei Geräten vom Typ Workstation Priorität haben – das heißt auf jedem System, das für E-Mail oder Internetzugriffe über einen Browser verwendet wird. Dazu zählen auch Multi-User-Server, die als Remote-Desktops für Benutzer dienen.
Aktiv angegriffene Lücken mit Rechteerweiterung in Win32k
In Win32k existieren zwei Sicherheitslücken (CVE-2019-0803 und CVE-2019-0859), die ein Angreifer nutzen kann, um Rechte zu erweitern. Nach Angaben von Microsoft werden beide Lücken bereits aktiv angegriffen. Sowohl auf Workstations als auch Servern sollten diese Schwachstellen vorrangig geschlossen werden.
PoC für Rechteerweiterung im Windows AppX-Bereitstellungsdienst
Eine weitere Sicherheitslücke, die zur Erhöhung von Berechtigungen führen kann, besteht im Windows AppX-Bereitstellungsdienst (AppXSVC). Dieser Dienst ist für die Bereitstellung von Anwendungen aus dem Windows Store zuständig. Die Schwachstelle betrifft die Art und Weise, wie AppXSVC harte Links verarbeitet. Ein Proof-of-Concept (PoC)-Exploit liegt bereits vor und wurde öffentlich verfügbar gemacht. Die Schwachstelle sollte sowohl auf Workstations als auch Servern schnellstmöglich behoben werden, da dieser Dienst sowohl unter Windows 10 als auch unter Server 2019 verfügbar ist.
RCE-Schwachstellen in GDI+ und IOleCvt
In GDI+ und IOleCvt werden zwei Schwachstellen beseitigt, die es einem Angreifer ermöglichen könnten, aus der Ferne Code auszuführen. Zur Ausnutzung ist hier eine Benutzerinteraktion erforderlich, und Systeme vom Typ Workstation sollten baldmöglichst gepatcht werden.
Schwachstelle mit Rechteerweiterung im SMB-Server
Im SMB-Server stopft Microsoft eine Sicherheitslücke, die die Erweiterung von Rechten ermöglicht. Um diese Lücke auszunutzen, muss der Angreifer auf dem Zielsystem angemeldet sein und über SMB auf eine bösartige Datei zugreifen.
Adobe-Patches
Adobe hat heute ebenfalls eine große Anzahl von Patches veröffentlicht. Dazu zählen Updates für Flash Player, Acrobat und Reader, Shockwave Player, Dreamweaver, Adobe XD, InDesign, Experience Manager Forms sowie Bridge CC. Der Flash Player-Patch schließt eine kritische RCE-Lücke sowie eine Anfälligkeit, die als wichtig eingestuft wird. Microsoft bewertet die Flash-Patches als kritisch. Die Patches für Acrobat/Reader beheben 21 Schwachstellen, darunter elf kritische, die Remotecodeausführung ermöglichen können. Die Patches für Adobe Flash und Acrobat/Reader sollten auf Systemen vom Typ Workstation vorrangig installiert werden.
Von Jimmy Graham, Senior Director of Product Management, Vulnerability Management bei Qualys
#Netzpalaver #Qualys
