Oktober-Patchday: Microsoft schließt zwei Zero-Day-Lücken
Eine Zero-Day-Lücke wird bereits aktiv ausgenutzt. Insgesamt bringt der Oktober-Patchday Fixes für 84 Anfälligkeiten. Betroffen sind zahlreiche Anwendungen wie Office und SharePoint sowie alle unterstützten Windows-Versionen.
Microsoft nutzt den Oktober-Patchday, um 84 Schwachstellen in seinen Produkten zu beseitigen. Darunter sind zwei Zero-Day-Lücken, von denen eine zudem bereits aktiv von Angreifern ausgenutzt wird. Sie erhalten unter Umständen höhere Rechte als die des angemeldeten Benutzers. Davon betroffen sind alle unterstützten Windows-Versionen von 8.1 bis 11 22H2 sowie Windows Server ab Version 2008 SP2.
Die bereits ausgenutzte Zero-Day-Lücke steckt im Ereignissystemdienst Windows COM+. Ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, könnte System-Rechte erhalten. Die andere Zero-Day-Lücke ist laut Microsoft bereits öffentlich bekannt, wird aber noch nicht von Hackern missbraucht. Sie könnten über Office-Anwendungen Zugriff auf vertrauliche Informationen wie Benutzer-Tokens erhalten.
Darüber hinaus stopft Microsoft Löcher in Anwendungen und Diensten wie Active Directory Domain Services, Azure, Edge, Office, SharePoint, NuGet Client, Hyper-V und Visual Studio Code. Außerdem sind zahlreiche Windows-Komponenten wie CD-ROM Driver, Crypto API, Defender, DHCP Client, Gruppenrichtlinien, IKE-Protokoll, Kernel, NTFS, PPT-Protokoll, Druckerwarteschlange, TCP/IP, USB Serial Driver, Win32K und WLAN Service angreifbar.
Laut Zero Day Initiative (ZDI) bewertet Microsoft 15 Sicherheitslücken als kritisch und 69 als wichtig. Eine kritische Lücke wurde in Microsoft Office gefunden. Sie erlaubt das Einschleusen und Ausführen von Schadcode – zum eigentlichen Angriffsvektor machte Microsoft indes keine Angaben.
“Interessanter ist jedoch, was diesen Monat nicht in der aktuellen Veröffentlichung enthalten ist. Es gibt keine Updates für Exchange Server, obwohl zwei Exchange-Bugs seit mindestens zwei Wochen aktiv ausgenutzt werden. Diese Bugs wurden vom ZDI Anfang September entdeckt und Microsoft gemeldet. Da keine Updates verfügbar sind, die diese Fehler vollständig beheben, können Administratoren bestenfalls sicherstellen, dass das kumulative Update (CU) vom September 2021 installiert ist. Dadurch wird der Exchange Emergency Mitigation-Dienst hinzugefügt. Dieser installiert automatisch die verfügbaren Abhilfemaßnahmen und sendet Diagnosedaten an Microsoft”, erklärte die Zero Day Initiative.
Sie verweist zudem auf Microsofts Sicherheitswarnung zu den aktuellen Exchange-Lücken. Das Unternehmen habe die darin genannten Behelfslösungen inzwischen mehrfach überarbeitet. “Sie müssen also sicherstellen, dass Sie die Website regelmäßig auf Aktualisierungen überprüfen.”