Microsoft-Patchday im Juli: Ein Sturm im Cyberspace
von Tina Siering
Ein Blick auf die Sicherheitslücken
Die Meldung von 130 Sicherheitslücken ist alarmierend, insbesondere wenn man bedenkt, dass fünf Zero-Days bereits aktiv von Cyberkriminellen ausgenutzt werden und noch nicht durch Updates geschlossen wurden. Microsoft hat zudem zwei Security-Advisories veröffentlicht, die weitere Details zu den Bedrohungen liefern. Eines davon behandelt 133 infizierte Treiber mit gültiger Signatur, während das andere eine Aktualisierung der DBX-Datenbank beschreibt, die UEFI-Module blockiert, die das Umgehen von Secure Boot ermöglichen. Von den Zero-Day-Exploits sind gleich mehrere Produkte von Microsoft betroffen:
• Beim Öffnen einer Datei lässt sich die Windows SmartScreen Sicherheitswarnung umgehen (CVE-2023-32049, CVSS 8.8, Risiko hoch)
• In Microsoft Outlook kann eine Sicherheitsrückfrage umgangen werden (CVE-2023-35311, CVSS 8.8, hoch)
• Durch eine Lücke im Windows Error Reporting können Cyberkriminelle ihre Privilegien erhöhen (CVE-2023-36874, CVSS 7.8, hoch)
• Die Windows MSHTML-Platform erlaubt das Ausweiten von Rechten in der Systemumgebung (CVE-2023-32046, CVSS 7.8, hoch)
Aktuell untersuchen die Microsoft-Entwickler mit Hochdruck bereits aktiv ausgenutzte Sicherheitslücken in Microsoft Office. Hier existieren gleich mehrere Sicherheitsrisiken, durch die Angreifer via präparierter Office-Dateien Schadcode in Netzwerke oder Einzelplatzrechner einschleusen können. Zwar muss hierfür der Anwender aktiv das zugesendete Dokument öffnen – was allerdings mit ein wenig zielgerichtetem Social Engineering „drumherum“ kein Problem darstellen dürfte. Erst nach Abschluss der Arbeiten des Microsoft-Entwicklerteams wird Microsoft Maßnahmen ergreifen – entweder mit einem Update im Rahmen des nächsten Patchdays oder mit einem Update außerhalb der gewohnten Reihenfolge.
Die Bedrohung durch Zero-Day-Exploits: Was macht die Sicherheitslücken so gefährlich?
Zero-Day-Lücken sind Sicherheitslücken in Software oder Hardware, die dem Hersteller noch nicht bekannt sind und für die es noch keinen Patch gibt. Das "Zero-Day" bezieht sich auf die Anzahl der Tage, die dem Hersteller zur Verfügung stehen, um das Problem zu beheben, bevor es ausgenutzt wird – nämlich null.
Was macht diese Lücken so gefährlich? Da sie dem Hersteller unbekannt sind, gibt es keine offizielle Lösung oder Abwehrmaßnahme gegen sie. Dies gibt Angreifern einen erheblichen Vorteil, da sie diese Lücken nutzen können, um in Systeme einzudringen, Daten zu stehlen oder Malware zu verbreiten, ohne dass der Nutzer davon Kenntnis hat.
Wie werden sie ausgenutzt? Angreifer nutzen spezielle Tools und Techniken, um diese Lücken zu entdecken. Sobald sie eine finden, entwickeln sie einen Exploit – einen Code, der die Lücke ausnutzt, um unerlaubten Zugriff auf das System zu erhalten oder andere schädliche Aktionen auszuführen. Da es keinen Patch gibt, sind Systeme, die von der Lücke betroffen sind, extrem anfällig für Angriffe, bis eine Lösung gefunden wird.
Die Rolle der Storm-0978 Cybergang
In einem aktuellen Blog-Beitrag informiert Microsoft die Leserschaft, dass die russische Cybergang Storm-0978 hinter einigen der aktuellen Zero-Day-Angriffe steckt. Diese Gruppe ist bekannt für ihre Ransomware-Angriffe und Cyber-Erpressungen. Sie nutzen die aktuellen Sicherheitslücken, um eine Backdoor namens RomCom zu verbreiten. In dem Blog-Beitrag hat Microsoft Empfehlungen für IT-Verantwortliche bereitgestellt, um ihre Systeme vor diesen Angriffen zu schützen.
Kritische Schwachstellen und ihre Auswirkungen
Neben den Zero-Day-Lücken gibt es auch andere kritische Sicherheitslücken, die dringend behoben werden müssen. Dazu gehören Lücken im Routing and Remote Access Service (RRAS) des Windows Servers und im Microsoft Message Queuing. Diese Lücken können es Angreifern ermöglichen, Schadcode aus der Ferne einzuschleusen und auszuführen. Microsoft hat diese und andere Lücken in seinen Release-Notes zum Juli-Patchday detailliert aufgelistet und IT-Verantwortlichen dringend empfohlen, die bereitgestellten Updates schnellstmöglich zu installieren.
Zusätzliche Aktualisierungen und Anpassungen
Abseits der Sicherheitsupdates hat Microsoft auch einige nicht sicherheitsrelevante Anpassungen vorgenommen. Dazu gehört eine Taskleisten-Uhr mit Sekundenanzeige und ein Multi-App-Kioskmodus für Windows 11.
Fazit
Der Juli-Patchday von Microsoft hat wieder einmal eines deutlich gemacht: Cyberkriminelle nutzen jede noch so kleine Sicherheitslücke erbarmungslos aus. Gutes Patch-Management zahlt sich immer aus! Zeitnah bereitgestellte Updates und Patches sollten umgehend implementiert werden.