Anzeige

Sicherheit

Am Dienstag hat Microsoft eine rekordverdächtige Zahl an Patches vorgestellt. Zudem wurde am Montag eine 1-Day-Schwachstelle in der V8 JavaScript-Engine, die von Google Chrome und Microsoft Edge verwendet wird öffentlich. Satnam Narang, Staff Research Engineer bei Tenable, kommentiert diese Entwicklungen.

„Das Patch Tuesday Release dieses Monats adressiert 108 CVEs, von denen 19 als kritisch eingestuft sind. Dies ist das erste Mal im Jahr 2021, dass Microsoft über 100 CVEs gepatcht hat. Im Jahr 2021 wurden bisher 329 CVEs adressiert.

Im vergangenen Monat hat ein Out-of-Band-Update vier kritische Zero-Days in Microsoft Exchange Server adressiert, die in freier Wildbahn ausgenutzt wurden, darunter ProxyLogon. Nun hat Microsoft diesen Monat vier weitere kritische Exchange Server-Schwachstellen gepatcht: CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483. Die Entdeckung aller vier wird der National Security Agency zugeschrieben, wobei zwei auch von Microsoft intern entdeckt wurden. Diese Schwachstellen wurden anhand des Exploitability Index von Microsoft als "Exploitation More Likely" eingestuft. Bei zwei der vier Schwachstellen (CVE-2021-28480, CVE-2021-28481) handelt es sich um eine Pre-Authentication, d. h. ein Angreifer muss sich nicht beim anfälligen Exchange-Server authentifizieren, um die Schwachstelle auszunutzen. Angesichts des großen Interesses an Exchange Server seit letztem Monat ist es wichtig, dass Unternehmen diese Exchange Server-Patches sofort anwenden.

Microsoft hat außerdem den Patch CVE-2021-28310 installiert, eine Win32k-Schwachstelle, die als Zero-Day ausgenutzt wurde. Die Ausnutzung dieser Schwachstelle würde dem Angreifer erhöhte Rechte auf dem verwundbaren System geben. Dies würde einem Angreifer erlauben, beliebigen Code auszuführen, neue Konten mit vollen Rechten zu erstellen, auf Daten zuzugreifen und/oder diese zu löschen und Programme zu installieren. Elevation-of-Privilege-Schwachstellen werden von Angreifern nach der Kompromittierung ausgenutzt, sobald sie sich Zugang zu einem System verschafft haben, um Code mit erhöhten Rechten auf ihren Zielsystemen auszuführen.“

 

Über den „Chrome 0day“, der durch eine 1-Day-Schwachstelle ausgelöst wurde, meint Satnam Narang:

„Es gibt Berichte über eine 1-Day-Schwachstelle in der V8 JavaScript-Engine, die von Google Chrome und Microsoft Edge (Chromium) verwendet wird. Diese Schwachstelle wurde am 12. April in den sozialen Medien bekannt gegeben. Es scheint sich dabei um denselben Fehler zu handeln, der bereits Anfang des Monats beim Pwn2Own-Wettbewerb gemeldet wurde. Die bekannte Sicherheitslücke wurde bereits in der V8-Engine gepatcht, aber noch nicht in Chrome und Edge.

Es ist zwar besorgniserregend, dass Details über eine Sicherheitslücke in beliebten Webbrowsern öffentlich bekannt geworden sind. Die Besorgnis ist aber praktisch unbegründet, da die Sicherheitslücke selbst nicht aus der Sandbox von Google entkommen kann. Das bedeutet, dass ein Angreifer weder das zugrundeliegende Betriebssystem kompromittieren noch auf vertrauliche Informationen zugreifen kann. Es ist wie mit dem Klatschen in die Hände: Man kann nicht mit nur einer Hand klatschen, man braucht beide. In ähnlicher Weise müsste ein Angreifer in diesem Fall diese V8-Schwachstelle mit einer zweiten Schwachstelle koppeln, um die Sandbox zu umgehen. Trotzdem raten wir Anwendern und Unternehmen dringend, ihre Browser wie Chrome und Edge so schnell wie möglich zu patchen, da ungepatchte Browser und Systeme ein lohnendes Ziel für Cyberkriminelle und APT-Gruppen sind.“

Satnam Narang, Senior Security Response Manager
Satnam Narang
Senior Security Response Manager, Tenable Network Security

Artikel zu diesem Thema

Microsoft Exchange
Apr 14, 2021

Microsoft schließt weitere Sicherheitslücken in E-Mail-System Exchange

Microsoft muss erneut Sicherheitslücken in seiner E-Mail-Software Exchange Server mit…
Hacker Warnung
Mär 24, 2021

Frühwarnsystem für Zero-Day-Angriffe und andere Cyberattacken

Zero-Day-Angriffe, wie der jüngst von der Hacker-Gruppierung Hafnium verübte, stellen ein…
Google Chrome
Feb 10, 2021

Google Chrome-Update schließt kritische Sicherheitslücke

Analysen zufolge ist Googles Chrome der bei weitem beliebteste Browser. Da verwundert es…

Weitere Artikel

künstliche Intelligenz

KI entschlüsselt Geheimnisse antiker Texte

Forscher der University of Notre Dame entwickeln ein neuronales Netzwerk in Kombination mit maschinellem Lernen, um alte Handschriften zu entziffern.
Ransomware

DoppelPaymer taucht als Grief wieder auf

Anfang Mai 2021 gingen die Aktivitäten der Ransomware DoppelPaymer deutlich zurück, nachdem die Erpressergruppe dahinter auch in deutschen Organisationen Bekanntheit erlangt hatte.
5G

2021 wächst der weltweite Umsatz mit 5G-Netzinfrastrukturen um 39 %

Der weltweite Umsatz mit 5G-Netzinfrastrukturen wird bis 2021 um 39 % auf insgesamt 19,1 Milliarden USD steigen, so die neuste Prognose des Research- und Beratungsunternehmens Gartner. 2020 betrug dieser Wert noch 13,7 Milliarden USD.
DDoS

2021 auf dem Weg zu 11 Millionen DDoS-Attacken

In der ersten Jahreshälfte 2021 wurde gemäß den Messungen von Netscout ein Rekord von 5,4 Millionen DDoS-Angriffen verzeichnet, was einem Anstieg von 11 Prozent gegenüber dem gleichen Zeitraum im Jahr 2020 entspricht.
Content Day 2021

ContentDay 2021 - Hotspot für Online-Experten

Ganz nach dem Motto „It’s all about content“ dreht sich am ContentDay 2021 alles um relevante Inhalte auf digitalen Kanälen.
Hackerangriff

Unternehmen beklagen immense Schäden durch Cyberangriffe

Es gibt kaum noch Unternehmen in Deutschland, die von Cyberattacken verschont bleiben.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.