Windows-Patchday: Microsoft beseitigt sechs aktiv ausgenutzte Zero-Day-Lücken
Zwei davon kombinieren Hacker mit einer Zero-Day-Lücke in Chrome für zielgerichtete Angriffe. Insgesamt stopft Microsoft im Juli 50 Sicherheitslöcher. Betroffen sind neben Windows und Office auch SharePoint, Edge, Exchange Server und Dynamics 365.
Microsoft hat die monatlichen Sicherheitsupdates für Windows, Office und andere Produkte veröffentlicht. Der Juni-Patchday bringt Fixes für 50 Anfälligkeiten, von denen allerdings sechs als Zero-Day-Lücken einzustufen sind, die zudem nach Angaben des Unternehmens bereits aktiv für Hackerangriffe eingesetzt werden.
Das gilt unter anderem für eine Schwachstelle in der MSHTML-Plattform, die eine Remotecodeausführung ermöglicht und von der ein hohes Risiko ausgeht. Diese Bewertung trifft auch auf Bugs in der Windows-Bibliothek DWM Core sowie im Dateisystem NTFS zu. Beide erlauben eine nicht autorisierte Ausweitung von Benutzerrechten. Einen mittleren Schweregrad haben weitere Anfälligkeiten im Microsoft Enhanced Cryptographic Provider sowie im Windows Kernel, die aber ebenfalls schon vor dem Patchday Hackern bekannt waren.
Die Anfälligkeiten im Windows-Kernel sowie im Dateisystem NTFS nutzt laut Kaspersky derzeit eine neue Hackergruppe, die als PuzzleMaker bezeichnet wird. Beide Bugs kombinieren sie mit einer weiteren Zero-Day-Lücke in Google Chrome zu einer Exploit-Kette, um bei zielgerichteten Angriffe eine Schadsoftware einzuschleusen und mit Systemrechten auszuführen.
Eine siebte Zero-Day-Lücke konnte Microsoft indes beseitigen, bevor Cyberkriminelle einen Exploit entwickeln konnten. Sie steckt in den Remotedesktopdiensten von Windows und macht das Betriebssystem anfällig für Denial-of-Service.
Unter den insgesamt 50 Sicherheitslücken sind auch fünf als kritisch eingestufte Schwachstellen – sie sind jedoch allesamt vertraulich an Microsoft gemeldet worden und werden nun erst durch die Veröffentlichung der Updates bekannt. Davon betroffen sind Microsoft Edge, Dynamics 365, SharePoint Foundation, SharePoint Server, Exchange Server, Chakra Core, Windows 10 und Windows Server.
Weitere Löcher stopft Microsoft in Edge für Android, Office, den Office-Diensten und den Office Web-Apps und Visual Studio. Angreifbar sind aber auch Azure DevOps, Azure SDK und Azure Sphere. Gemeldet wurden Fehler unter anderem von Trend Micros Zero Day Initiative, der Google Threat Analysis Group, Google Project zero, Nixu Cybersecurity, Check Point Research, FireEye und Kaspersky gemeldet.
“Während diese Schwachstellen bereits in freier Wildbahn als Zero-Days ausgenutzt wurden, ist es immer noch wichtig, dass Unternehmen diese Patches so schnell wie möglich anwenden. Ungepatchte Schwachstellen bleiben für viele Organisationen auch Monate nach der Veröffentlichung von Patches ein Problem”, kommentiert der Sicherheitsanbieter Tenable den Microsoft-Patchday.