Patch Day Oktober 2021 – auch für Windows 11

Von den 74 am 12. Oktober behobenen Schwachstellen stuft Microsoft nur drei als kritisch ein, den Rest bis auf eine als hohes Risiko. Kritische Lücken betreffen Hyper-V und Microsoft Office. Drei Schwachstellen waren vorab öffentlich bekannt, eine weitere Lücke (CVE-2021-40449) wird bereits ausgenutzt. Spärliche Details zu den Schwachstellen bietet Microsoft zum Selbstsuchen im Leitfaden für Sicherheitsupdates . Deutlich übersichtlicher bereitet Dustin Childs im Blog von Trend Micro ZDI das Thema Update-Dienstag auf.

Browser
Für den Internet Explorer gibt es auch in diesem Monat wieder ein kumulatives Sicherheits-Update (KB5006671). Es beseitigt eine Schwachstelle (CVE-2021-41342) in der MSHTML-Plattform, die noch durch verschiedene Systemkomponenten genutzt wird. Die Lücke ist als hohes Risiko eingestuft und könnte genutzt werden, um Code einzuschleusen und auszuführen.

Das jüngste Sicherheits-Update für Edge (Chromium) ist die Version 94.0.992.47, die bereits seit 11. Oktober verfügbar ist. Sie basiert auf Chromium 94.0.4606.81, beseitigt vier Sicherheitslücken und ist damit auf dem gleichen Stand wie Google Chrome.

Office
In seiner Office-Familie hat Microsoft in diesem Monat 15 Schwachstellen beseitigt. Microsoft stuft eine der Lücken als kritisch ein und weist 13 Lücken als hohes Risiko aus. Zehn Lücken sind geeignet, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen. Eine dieser Schwachstellen ist die als kritisch ausgewiesene Word-Lücke CVE-2021-40486. In Excel stecken gleich sechs solcher Lücken, in Visio zwei, in Sharepoint eine.

Windows
Die Mehrzahl der Schwachstellen (47) verteilt sich über die verschiedenen Windows-Versionen (8.1 und neuer), für die Microsoft noch Sicherheits-Updates für alle anbietet. Windows 7 und Server 2008 R2 werden zwar in den Sicherheitsberichten noch erwähnt, Updates erhalten jedoch nur noch am kostenpflichtigen ESU-Programm teilnehmende Organisationen.

Die zwei als kritisch eingestuften Windows-Lücken (CVE-2021-38672, CVE-2021-40461) betreffen Hyper-V. Mindestens eine dieser Schwachstellen (CVE-2021-38672) könnte durch schädlichen Code in einer virtuellen Maschine (VM) ausgenutzt werden, um Speicherinhalte des Hostsystems auszulesen. Möglicherweise eignet sich auch die zweite Lücke für einen Ausbruch aus dem Gastsystem, doch zu dieser macht Microsoft keine näheren Angaben. Beide Schwachstellen betreffen auch Windows 11.

Lücke wird ausgenutzt
Bereits für Angriffe ausgenutzt wird die Schwachstelle CVE-2021-40449 im Windows-Kernel (Win32k). Betroffen sind alle Windows-Versionen, einschließlich Server – auch Windows 11. Ein Angreifer könnte sich höhere Berechtigungen verschaffen. Das geschieht meist in Kombination mit einer zweiten Schwachstelle, die es ermöglicht, eingeschleusten Code auszuführen. Dieser kann dann mit Systemrechten ausgeführt werden und der Angreifer erlangt die Kontrolle über das System.

Entdeckt und gemeldet hat die Win32k-Lücke Boris Larin (Kaspersky). Kasperskys Malware-Experten haben die Lücke im Sommer im Zusammengang mit der mutmaßlich chinesischen APT-Gruppe „IronHusky“ entdeckt. Die Angreifer nutzen diese und weitere Schwachstellen, um ein RAT (remote access tool) namens „MysterySnail“ in Windows Server einzuschleusen.

Die Kernel-Lücke CVE-2021-41335 ist ähnlich problematisch, beide haben den CVSS-Score 7.8. Exploit-Code (PoC, Proof-of-Concept) für diese Schwachstelle war bereits vorab öffentlich verfügbar, Angriffe sind jedoch bislang nicht bekannt. Verfügbare Updates gegen beide Sicherheitslücken sollten umgehend eingespielt werden.

Drucker-Albtraum
Das Thema „ PrintNightmare “ findet kein Ende. Nachdem Microsoft im September ein Update gegen Schwachstellen und Probleme im Drucker-Spooler ausgeliefert hatte, gab es verschiedene Probleme mit dem Drucker-Management. Jetzt stellt Microsoft ein weiteres Update bereit, das die Schwachstelle CVE-2021-36970 in der Druckerwarteschlange beseitigen soll. Vermutlich soll es auch die Probleme beheben, die das vorherige Update ausgelöst hat.

Exchange Server
Offenbar hat Microsoft noch nicht alle Exchange-Lücken geschlossen, die der US-Geheimdienst NSA im Frühjahr nach Redmond gemeldet hatte. Mit CVE-2021-26427 war zumindest noch eine übrig. Ein Angreifer im gleichen Netzwerk (also nicht direkt übers Internet) könnte Code einschleusen und ausführen. Microsoft schließt auch drei weitere Exchange-Lücken.

Extended Security Updates (ESU)
Unternehmen und Organisationen, die an Microsofts kostenpflichtigen ESU-Programm teilnehmen, um Systeme mit Windows 7 oder Server 2008 R2 abzusichern, erhalten in diesem Monat Updates, die 20 Lücken schließen. Darunter sind auch die oben genannte 0-Day-Lücke im Windows Kernel sowie das kumulative IE-Update.

Auch im Oktober gibt es wieder ein neues Windows-Tool zum Entfernen bösartiger Software . Der nächste turnusmäßige Update-Dienstag ist am 9. November.