Patch Day März 2021

In diesem Jahr bleibt die Zahl der beim monatlichen Patch Day beseitigten Schwachstellen weiterhin deutlich unter 100. Zusammen mit den sieben bereits in der Vorwoche behandelten Exchange-Lücken sind es im März bislang 89 Sicherheitslücken. Zehn der 82 am 9. März hinzugekommenen Schwachstellen stuft Microsoft als kritisch ein, den Rest als hohes Risiko. Kritische Lücken betreffen Windows, den Internet Explorer und Edge, Azure Sphere sowie optionale Video-Codecs. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Patch Day auf.

Internet Explorer und Edge (EdgeHTML)
Für den Internet Explorer 11 liefert Microsoft erstmals seit November 2020 wieder Updates aus. Sie beseitigen zwei Sicherheitslücken im IE. Eine der Lücken (CVE-2021-26411) ist nicht nur als kritisch ausgewiesen, laut Microsoft wird sie auch bereits für Angriffe ausgenutzt. Diese Schwachstelle betrifft auch den alten Edge-Browser (EdgeHTML-basiert), für den dies das letzte Update sein dürfte. Im April soll er, soweit noch vorhanden, aus allen Windows-Installationen entfernt werden.

Edge (Chromium)
Für den neuen Edge (Chromium-basiert) hat Microsoft bereits in der letzten Woche ein Sicherheits-Update bereitgestellt. Edge 89.0.774.45 vom 4. März basiert auf der Chromium-Version 89.0.4389.72. Am 8. März hat Microsoft noch ein Bugfix-Update auf Version 89.0.774.48 nachgelegt.
 
Office
In seinen Office-Produkten hat Microsoft auch in diesem Monat wieder 11 Schwachstellen beseitigt. Microsoft weist keine dieser Schwachstellen als kritisch aus, vielmehr sind alle als hohes Risiko eingestuft. Acht Lücken, zwei davon in Excel sowie je eine in Powerpoint und Sharepoint Server, sind jedoch geeignet, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen. Microsoft weist solche Schwachstellen in aller Regel nicht als kritisch aus, da ein Benutzer ein solches Dokument zunächst öffnen muss, damit Schadcode wirken kann. Zum Teil ist auch Office 2019 für Mac betroffen, Updates hierfür werden jedoch wie üblich erst später verfügbar sein.

Windows
Der überwiegende Teil der Schwachstellen (59) verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.

Microsoft stuft sechs Windows-Lücken als kritisch ein. Eine Schwachstelle in Hyper-V (CVE-2021-26867) kann ausgenutzt werden, um aus der virtuellen Maschine auszubrechen und Code auf dem Host-System auszuführen. Sie betrifft jedoch nur Installationen, bei denen das Dateisystem Plan-9 zum Einsatz kommt. Speziell präparierte OpenType-Fonts können genutzt werden, um eingeschleusten Code auszuführen (CVE-2021-26876). Dies betrifft Windows 10 und die zugehörigen Server-Versionen.

DNS-Server
Alle noch unterstützten Server-Versionen sind anfällig für fünf Schwachstellen im DNS-Dienst, soweit die Server als DNS-Server konfiguriert sind. Für alle fünf Lücken weist Microsoft den CVSS-Score 9.8 aus, stuft jedoch nur eine (CVE-2021-26897) als kritisch ein. Secure Zone Updates verringern die Erfolgschancen potenzieller Angreifer, machen die Systeme jedoch nicht immun. Eine sechste Lücke (CVE-2021-27063) macht diese Server anfällig für DoS-Attacken (Denial of Service).

Auch im März sind wieder Sicherheitslücken in optionalen Video-Codecs zu schließen. Zehn Schwachstellen, drei davon als kritisch ausgewiesen, betreffen die HEVC-Videoerweiterung (AV1-Codec) aus dem Windows Store. Alle zehn eignen sich, um eingeschleusten Code auszuführen. Ein automatisches Update aus den Windows Store schließt die Lücken.

Nicht als kritisch weist Microsoft die Sicherheitslücke CVE-2021-27077 aus, die alle Windows-Versionen betrifft. Sie steckt im Kernel-Treiber win32kfull.sys und erlaubt es lokalen Angreifern, Code mit Systemrechten auszuführen. Trend Micro ZDI hatte die Schwachstelle im Dezember an Microsoft gemeldet, doch Microsoft schien nicht gewillt, sie zu beseitigen. Ende Januar hat ZDI die Lücke daher veröffentlicht . Das scheint Microsofts Meinung geändert zu haben, denn nun gibt es Updates, um die Lücke zu schließen.

Microsoft Exchange Server unter Beschuss

Exchange
Bereits am 2. März hat Microsoft auf Angriffe reagiert, die Exchange Server betreffen und Sicherheits-Updates bereitgestellt . Gab es zunächst nur Attacken auf US-Einrichtungen, werden mittlerweile auch europäische Institutionen angegriffen , darunter die europäische Bankenaufsicht EBA. Inzwischen sind weitere Updates auch für Exchange-Versionen verfügbar, die an sich nicht mehr unterstützt werden. Microsoft empfiehlt jedoch den Wechsel auf unterstützte Exchange-Versionen.

Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 24 Lücken schließen. Darunter sind zwei als kritisch ausgewiesene Schwachstellen.

Auch im März gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software . Der nächste turnusmäßige Patch Day ist am 13. April.