Anzeige

Sicherheit

Am Dienstag hat Microsoft eine rekordverdächtige Zahl an Patches vorgestellt. Zudem wurde am Montag eine 1-Day-Schwachstelle in der V8 JavaScript-Engine, die von Google Chrome und Microsoft Edge verwendet wird öffentlich. Satnam Narang, Staff Research Engineer bei Tenable, kommentiert diese Entwicklungen.

„Das Patch Tuesday Release dieses Monats adressiert 108 CVEs, von denen 19 als kritisch eingestuft sind. Dies ist das erste Mal im Jahr 2021, dass Microsoft über 100 CVEs gepatcht hat. Im Jahr 2021 wurden bisher 329 CVEs adressiert.

Im vergangenen Monat hat ein Out-of-Band-Update vier kritische Zero-Days in Microsoft Exchange Server adressiert, die in freier Wildbahn ausgenutzt wurden, darunter ProxyLogon. Nun hat Microsoft diesen Monat vier weitere kritische Exchange Server-Schwachstellen gepatcht: CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483. Die Entdeckung aller vier wird der National Security Agency zugeschrieben, wobei zwei auch von Microsoft intern entdeckt wurden. Diese Schwachstellen wurden anhand des Exploitability Index von Microsoft als "Exploitation More Likely" eingestuft. Bei zwei der vier Schwachstellen (CVE-2021-28480, CVE-2021-28481) handelt es sich um eine Pre-Authentication, d. h. ein Angreifer muss sich nicht beim anfälligen Exchange-Server authentifizieren, um die Schwachstelle auszunutzen. Angesichts des großen Interesses an Exchange Server seit letztem Monat ist es wichtig, dass Unternehmen diese Exchange Server-Patches sofort anwenden.

Microsoft hat außerdem den Patch CVE-2021-28310 installiert, eine Win32k-Schwachstelle, die als Zero-Day ausgenutzt wurde. Die Ausnutzung dieser Schwachstelle würde dem Angreifer erhöhte Rechte auf dem verwundbaren System geben. Dies würde einem Angreifer erlauben, beliebigen Code auszuführen, neue Konten mit vollen Rechten zu erstellen, auf Daten zuzugreifen und/oder diese zu löschen und Programme zu installieren. Elevation-of-Privilege-Schwachstellen werden von Angreifern nach der Kompromittierung ausgenutzt, sobald sie sich Zugang zu einem System verschafft haben, um Code mit erhöhten Rechten auf ihren Zielsystemen auszuführen.“

 

Über den „Chrome 0day“, der durch eine 1-Day-Schwachstelle ausgelöst wurde, meint Satnam Narang:

„Es gibt Berichte über eine 1-Day-Schwachstelle in der V8 JavaScript-Engine, die von Google Chrome und Microsoft Edge (Chromium) verwendet wird. Diese Schwachstelle wurde am 12. April in den sozialen Medien bekannt gegeben. Es scheint sich dabei um denselben Fehler zu handeln, der bereits Anfang des Monats beim Pwn2Own-Wettbewerb gemeldet wurde. Die bekannte Sicherheitslücke wurde bereits in der V8-Engine gepatcht, aber noch nicht in Chrome und Edge.

Es ist zwar besorgniserregend, dass Details über eine Sicherheitslücke in beliebten Webbrowsern öffentlich bekannt geworden sind. Die Besorgnis ist aber praktisch unbegründet, da die Sicherheitslücke selbst nicht aus der Sandbox von Google entkommen kann. Das bedeutet, dass ein Angreifer weder das zugrundeliegende Betriebssystem kompromittieren noch auf vertrauliche Informationen zugreifen kann. Es ist wie mit dem Klatschen in die Hände: Man kann nicht mit nur einer Hand klatschen, man braucht beide. In ähnlicher Weise müsste ein Angreifer in diesem Fall diese V8-Schwachstelle mit einer zweiten Schwachstelle koppeln, um die Sandbox zu umgehen. Trotzdem raten wir Anwendern und Unternehmen dringend, ihre Browser wie Chrome und Edge so schnell wie möglich zu patchen, da ungepatchte Browser und Systeme ein lohnendes Ziel für Cyberkriminelle und APT-Gruppen sind.“

Satnam Narang, Senior Security Response Manager
Satnam Narang
Senior Security Response Manager, Tenable Network Security

Artikel zu diesem Thema

Microsoft Exchange
Apr 14, 2021

Microsoft schließt weitere Sicherheitslücken in E-Mail-System Exchange

Microsoft muss erneut Sicherheitslücken in seiner E-Mail-Software Exchange Server mit…
Hacker Warnung
Mär 24, 2021

Frühwarnsystem für Zero-Day-Angriffe und andere Cyberattacken

Zero-Day-Angriffe, wie der jüngst von der Hacker-Gruppierung Hafnium verübte, stellen ein…
Google Chrome
Feb 10, 2021

Google Chrome-Update schließt kritische Sicherheitslücke

Analysen zufolge ist Googles Chrome der bei weitem beliebteste Browser. Da verwundert es…

Weitere Artikel

Christine Regitz zur Präsidentin der Gesellschaft für Informatik gewählt

Ab 2022 wird Christine Regitz (SAP SE) als erste Präsidentin in der mehr als 50-jährigen Geschichte der Gesellschaft für Informatik e.V. (GI) für die Mitglieder der größten Informatik-Fachgesellschaft im deutschsprachigen Raum sprechen.
Smartphone Kalender

Termine: Deutsche setzen 2022 auf Smartphone und Papier

Viele Deutsche werden ihre Termine 2022 zweigleisig planen. Ein Drittel nutzt sowohl das Smartphone als auch den klassischen Papierkalender. Je ein Viertel lehnt die doppelte Buchführung ab und entscheidet sich für eine der beiden Varianten.
Internet Schnecke

Lahmes Internet? Bundesnetzagentur legt Regeln für Minderungsrecht fest

Die Bundesnetzagentur hat Regeln festgelegt, auf deren Basis Verbraucher bei schlechtem Festnetz-Internet ihre Monatszahlungen kürzen dürfen.
Hacker

Jeder zweite Deutsche fürchtet sich vor Identitätsdiebstahl

Laut des Unisys Security Index 2021 fürchtet sich knapp jeder zweite Deutsche vor Identitätsdiebstahl (47 Prozent). Internetviren und Hackerangriffe rufen bei 41 Prozent der Befragten ebenfalls Sicherheitsbedenken hervor.
Corona Phishing

Cyberkriminelle nutzen Omikron-Variante als Phishing-Köder

Die Sicherheitsexperten von Proofpoint haben erneut eine Zunahme von digitalen Attacken via E-Mail festgestellt, bei denen Cyberkriminelle neueste Entwicklungen rund um das Corona-Virus als thematische Köder für digitale Angriffe verwenden, darunter…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.