Anzeige

Patch

Tenable warnt vor allem vor zwei kritischen Zero-Day-Schwachstellen, die beim Patch Tuesday aufgedeckt wurden. Satnam Narang, Staff Research Engineer bei Tenable, hat die aktuelle Security-Updates von Microsoft analysiert und äußerte sich wie folgt.

Das aktuelle Patch Tuesday Release enthält Korrekturen für 55 CVEs – sechs davon werden als kritisch eingestuft, darunter zwei Zero-Day-Schwachstellen, die in der Praxis bereits von Kriminellen  ausgenutzt wurden.

Das Release enthält einen Fix für CVE-2021-42321, eine kritische Sicherheitslücke bei der Remotecode-Ausführung in Microsoft Exchange Server, die auf Probleme bei der Validierung von Befehlszeilen (cmdlet) zurückzuführen ist. Um diese Schwachstelle auszunutzen, muss ein Angreifer authentifiziert sein, was die Auswirkungen etwas einschränkt. Laut Microsoft sind „begrenzte gezielte Angriffe“ bekannt, bei denen diese Sicherheitslücke ausgenutzt wird. Microsoft Exchange Server war im Jahr 2021 Gegenstand mehrerer bemerkenswerter Schwachstellen, von ProxyLogon und damit verbundenen Schwachstellen bis hin zu ProxyShell. Obwohl dies unbestätigt ist, könnte dies einer Exchange Server-Schwachstelle ähneln, die letzten Monat beim Tianfu Cup-Hacking-Wettbewerb entdeckt wurde. Wir empfehlen Unternehmen dringend, diese Patches so schnell wie möglich zu installieren.

Microsoft hat auch die Sicherheitslücke CVE-2021-42292 gepatcht, die eine Umgehung von Sicherheitsfunktionen in Microsoft Excel ermöglicht. Microsofts Security Threat Intelligence Center (MSTIC) wird die Entdeckung dieser Schwachstelle zugeschrieben, und es heißt, dass sie als Zero-Day  bereits on Kriminellen ausgenutzt wurde. Laut Microsoft ist das Outlook-Vorschaufenster kein Angriffsvektor für diese Schwachstelle, so dass ein Ziel die Datei öffnen müsste, um sie auszunutzen. Updates sind hauptsächlich für Windows-Systeme verfügbar, aber Updates für Office für Mac wurden noch nicht veröffentlicht.

Satnam Narang, Senior Security Response Manager
Satnam Narang
Senior Security Response Manager, Tenable Network Security

Artikel zu diesem Thema

Windows11
Okt 21, 2021

Windows 11 mit Sicherheitslücken

Die letzte Patch Tuesday-Runde von Microsoft enthielt Korrekturen für 14…
Zero Day
Jul 05, 2021

Neues Rekordniveau bei Zero-Day- und Netzwerkattacken

WatchGuard Technologies hat in seinem Internet Security Report für das erste Quartal 2021…
Patch
Apr 26, 2021

Patch-Management: Tägliche Herausforderung von IT-Admins und MSPs

Für IT-Administratoren und Managed Service Provider (MSP) ist es wichtig, mit den…

Weitere Artikel

Jack Dorsey

Square benennt sich in Block um

Der Bezahldienst Square von Twitter-Mitgründer Jack Dorsey untermauert seinen Fokus auf Digitalwährungen mit einem Namenswechsel. Die Firma benennt sich in Block um - in Anlehnung an die Blockchain-Technologie, mit der Kryptogeld wie Bitcoin funktioniert.
Kryptowährung

EU-Länder: Transparenz bei Krypto-Transfers steht

Die EU-Staaten haben sich auf ihre Position für neue Transparenzregeln bei Überweisungen mit Kryptowährungen geeinigt.
Microsoft

Untersuchung aller Software-Praktiken von Microsoft nötig

Die Beschwerde von Nextcloud über das wettbewerbswidrige Verhalten von Microsoft in Verbindung mit Kollaborationssoftware hängt eng zusammen mit den Problemen, die CISPE und viele andere Beobachter als schädlich für einen wettbewerbsfähigen…
Software

Wenn die Standardsoftware den Anforderungsumfang übersteigt

Der große Vorteil von etablierter Standardsoftware ist, dass der Funktionsumfang in der Regel sehr diversifiziert ist und deshalb auch einen großen Teil von spezifischen Anforderungen erfüllt. Der mögliche Nachteil einer Standardsoftware ist, dass einzelne…
Hacker

Hackerangriff auf Bayerische Krankenhausgesellschaft (BKG)

Die Bayerische Krankenhausgesellschaft (BKG) ist Opfer von Cyber-Kriminellen geworden. Der E-Mail-Server der BKG sei am Montag mit einer Schadsoftware infiziert worden, erklärte ein Sprecher am Mittwoch.
KI

Omnipräsent: Viele arbeiten mit KI, ohne es zu wissen

Jeder fünfte Erwerbstätige arbeitet bereits mit Künstlicher Intelligenz (KI), ohne sich dessen bewusst zu sein. Das zeigt eine Studie des Deutschen Instituts für Wirtschaftsforschung (DIW Berlin) und der Technischen Universität Berlin (TU Berlin).

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.